需要强调的是,安全加固并非一劳永逸的操作,而是一个持续演进的过程。本文聚焦于通用性强、效果显著的基础配置项,适用于CentOS、Ubuntu、Debian等主流发行版,并兼顾云环境与物理服务器的部署场景。无论你是刚接触Linux的新手,还是已有一定经验的运维工程师,都能从中获得实用价值。
首先,我们从用户与权限管理入手。这是安全防线的第一道关口。默认安装的Linux系统通常会创建root超级用户,但直接使用root登录存在极高风险。建议的做法是:禁用root远程登录,创建普通用户并通过sudo机制授权必要操作。执行命令如useradd -m deployer创建新用户,然后使用visudo编辑/etc/sudoers文件,添加deployer ALL=(ALL) NOPASSWD: ALL(根据实际需求调整权限)。同时,应定期审查用户列表(cat /etc/passwd),删除长期未使用的账户,避免僵尸账户成为攻击跳板。
其次,SSH服务的安全配置至关重要。SSH是远程管理Linux服务器的主要通道,也是黑客重点攻击的目标。第一步是修改默认端口(22),虽然这不能完全阻止攻击,但能有效减少自动化扫描的频率。编辑/etc/ssh/sshd_config文件,将Port 22改为例如Port 22222。接着,关闭密码认证,强制使用密钥登录:设置PasswordAuthentication no,PubkeyAuthentication yes。生成密钥对可通过ssh-keygen -t ed25519命令完成,将公钥放入~/.ssh/authorized_keys。此外,建议启用Fail2ban等工具,自动封禁多次尝试失败的IP地址,进一步提升防护能力。
第三步是配置防火墙。Linux系统自带的iptables或更现代的firewalld、ufw都是有效的网络访问控制工具。以ufw为例(适用于Ubuntu/Debian),可执行ufw default deny incoming和ufw default allow outgoing,先拒绝所有入站连接,再按需开放必要端口。例如,仅允许Web服务(80/443)和自定义SSH端口:ufw allow 22222/tcp、ufw allow 80/tcp、ufw allow 443/tcp。启用后运行ufw enable激活规则。对于CentOS/RHEL用户,可使用firewall-cmd --permanent --add-port=22222/tcp等方式实现类似效果。务必注意:配置防火墙前确保有本地控制台访问权限,避免因误操作导致远程失联。
接下来是系统更新与软件包管理。保持系统内核和软件包处于最新状态,是修补已知漏洞的最直接方式。定期执行apt update && apt upgrade(Debian系)或yum update(RHEL系)可获取安全补丁。更进一步,可配置自动更新策略。例如,在Ubuntu中安装unattended-upgrades包并启用security updates,确保关键漏洞在发布后第一时间被修复。同时,应移除不必要的软件包,减少攻击面。使用dpkg -l或rpm -qa列出已安装程序,通过apt remove或yum remove清理无用组件,如telnet、ftp、xinetd等老旧服务。
日志审计与监控是安全加固中常被忽视但极其关键的一环。系统日志(/var/log/auth.log、/var/log/secure等)记录了登录、权限变更等敏感操作,应确保其完整性并定期审查。建议安装auditd(Linux Audit Daemon)进行细粒度监控。例如,可配置规则监控对/etc/passwd、/etc/shadow等关键文件的访问:auditctl -w /etc/passwd -p wa -k identity。同时,将日志集中发送至远程日志服务器(如ELK Stack或Graylog),防止本地日志被攻击者篡改或删除。此外,可结合logwatch或goaccess等工具生成可视化报告,便于快速发现异常行为。
文件系统与权限加固同样不可忽视。应遵循最小权限原则,确保关键目录和文件的权限设置合理。例如,/etc/shadow应为600,/etc/passwd为644,/tmp目录应设置sticky bit(chmod +t /tmp)。使用find / -type f -perm /002 2>/dev/null可查找全局可写文件,逐一评估风险。此外,建议启用SELinux或AppArmor等强制访问控制(MAC)机制。虽然初期配置复杂,但它们能有效限制进程的权限范围,即使应用被攻破,也能遏制横向移动。对于性能敏感环境,可先以permissive模式运行,收集策略后再切换至enforcing。
网络层面的安全配置还包括禁用IPv6(若无需使用)、限制ICMP响应、关闭不必要的内核功能等。例如,通过sysctl.conf调整内核参数:net.ipv4.tcp_syncookies=1可防范SYN Flood攻击;net.ipv4.conf.all.rp_filter=1防止IP欺骗;net.ipv4.icmp_echo_ignore_broadcasts=1忽略广播ping请求。修改后执行sysctl -p使配置生效。此外,可使用tcpdump或nmap定期扫描本机开放端口,验证防火墙规则是否按预期工作。
最后,建立备份与应急响应机制是安全体系的兜底保障。即使加固到位,也无法100%杜绝入侵。因此,应制定定期全量+增量备份策略,并将备份存储于离线或隔离环境。同时,准备应急响应脚本,如一键断网、进程冻结、内存快照等,以便在发现入侵时快速止损。推荐使用Lynis、OpenSCAP等开源工具进行定期安全扫描,自动生成合规报告,持续优化配置。
综上所述,Linux服务器安全加固是一项系统工程,涉及账户、网络、日志、文件、内核等多个维度。本文提供的步骤虽为基础,但若能扎实落地,可显著提升服务器抗风险能力。安全无小事,唯有将“纵深防御”理念贯穿始终,才能在日益复杂的网络威胁中立于不败之地。建议读者结合自身业务场景,灵活调整策略,并持续关注CVE公告与社区最佳实践,让安全成为运维的日常习惯,而非事后的补救措施。