Linux系统安全加固命令和技巧#

安全加固概述#

Linux系统安全加固是保护系统免受未授权访问、攻击和数据泄露的重要措施。通过实施安全加固措施，可以提高系统的安全性、可靠性和稳定性，减少安全事件的发生。本文将介绍Linux系统中常用的安全加固命令和技巧，帮助系统管理员更高效地保护Linux系统。

安全加固原则#

最小权限原则#

最小权限原则是指用户和程序只应被授予完成其任务所需的最小权限，不应授予额外的权限。这可以减少系统被攻击的风险，因为攻击者即使获取了用户或程序的权限，也只能访问有限的资源。

纵深防御原则#

纵深防御原则是指在系统的多个层次实施安全措施，形成多层防护体系。即使一层防护被突破，其他层次的防护仍然可以保护系统。

安全更新原则#

安全更新原则是指及时更新系统和应用程序，修补已知的安全漏洞。攻击者经常利用已知的安全漏洞攻击系统，因此及时更新是保护系统的重要措施。

安全审计原则#

安全审计原则是指记录和分析系统的安全事件，及时发现和响应安全威胁。通过安全审计，可以了解系统的安全状态，发现潜在的安全问题。

系统基础安全加固#

账户安全#

禁用不必要的账户#

1
# 查看所有用户账户
2
cat /etc/passwd
3

4
# 查看所有系统账户
5
awk -F: '$3 < 1000 {print $1}' /etc/passwd
6

7
# 禁用不必要的账户
8
sudo passwd -l username
9

10
# 删除不必要的账户
11
sudo userdel username
12

13
# 查看锁定的账户
14
sudo passwd -S | grep L

密码策略#

1
# 查看密码策略配置
2
cat /etc/login.defs
3

4
# 编辑密码策略配置
5
sudo nano /etc/login.defs
6

7
# 设置密码最小长度
8
PASS_MIN_LEN 12
9

10
# 设置密码过期时间
11
PASS_MAX_DAYS 90
12

13
# 设置密码警告时间
14
PASS_WARN_AGE 7
15

16
# 安装密码强度检查工具
17
sudo apt install -y libpam-pwquality  # Debian/Ubuntu
18
sudo yum install -y pam_pwquality  # RHEL/CentOS
19

20
# 配置密码强度检查
21
sudo nano /etc/security/pwquality.conf
22

23
# 设置密码强度要求
24
minlen = 12
25
minclass = 4
26
maxrepeat = 3
27
difok = 8
28
retry = 3

限制root登录#

1
# 禁止root远程登录
2
sudo nano /etc/ssh/sshd_config
3
# 设置 PermitRootLogin no
4

5
# 禁止root通过su切换
6
sudo nano /etc/pam.d/su
7
# 添加 auth required pam_wheel.so use_uid
8

9
# 只允许wheel组用户使用su
10
sudo usermod -aG wheel username
11

12
# 查看wheel组成员
13
getent group wheel

限制登录尝试#

1
# 安装fail2ban
2
sudo apt install -y fail2ban  # Debian/Ubuntu
3
sudo yum install -y fail2ban  # RHEL/CentOS
4

5
# 配置fail2ban
6
sudo nano /etc/fail2ban/jail.local
7

8
# fail2ban配置示例
9
#[sshd]
10
enabled = true
11
port = ssh
12
filter = sshd
13
logpath = /var/log/auth.log  # Debian/Ubuntu
14
# logpath = /var/log/secure  # RHEL/CentOS
15
maxretry = 3
16
bantime = 3600
17

18
# 启动并启用fail2ban
19
sudo systemctl start fail2ban
20
sudo systemctl enable fail2ban
21

22
# 查看fail2ban状态
23
sudo fail2ban-client status

文件系统安全#

文件权限#

1
# 查看文件权限
2
ls -la /path/to/file
3

4
# 修改文件权限
5
chmod 600 /path/to/file
6

7
# 修改目录权限
8
chmod 700 /path/to/directory
9

10
# 递归修改目录权限
11
chmod -R 755 /path/to/directory
12

13
# 修改文件所有者
14
chown user:group /path/to/file
15

16
# 递归修改目录所有者
17
chown -R user:group /path/to/directory
18

19
# 查看特殊权限文件
20
find / -perm -4000 -type f 2>/dev/null  # SUID
21
find / -perm -2000 -type f 2>/dev/null  # SGID
22
find / -perm -1000 -type f 2>/dev/null  # Sticky bit
23

24
# 移除不必要的SUID/SGID权限
25
chmod u-s /path/to/file  # 移除SUID
26
chmod g-s /path/to/file  # 移除SGID

挂载选项#

1
# 查看当前挂载
2
mount
3

4
# 编辑fstab文件
5
sudo nano /etc/fstab
6

7
# 添加挂载选项
8
# /dev/sda1 / ext4 defaults,nosuid,noexec,nodev 0 1
9
# /dev/sda2 /home ext4 defaults,nosuid,noexec,nodev 0 2
10
# /dev/sda3 /tmp ext4 defaults,nosuid,noexec,nodev 0 2
11
# /dev/sda4 /var ext4 defaults,nosuid 0 2
12

13
# 重新挂载文件系统
14
sudo mount -o remount /
15
sudo mount -o remount /home
16
sudo mount -o remount /tmp
17
sudo mount -o remount /var

敏感文件保护#

1
# 保护重要配置文件
2
chmod 600 /etc/passwd
3
chmod 600 /etc/shadow
4
chmod 600 /etc/gshadow
5
chmod 600 /etc/group
6
chmod 600 /etc/sudoers
7
chmod 600 /etc/ssh/sshd_config
8
chmod 600 /etc/ssh/ssh_host_*_key
9

10
# 限制对敏感文件的访问
11
sudo chattr +i /etc/passwd
12
sudo chattr +i /etc/shadow
13
sudo chattr +i /etc/gshadow
14
sudo chattr +i /etc/group
15
sudo chattr +i /etc/sudoers
16

17
# 查看文件属性
18
lsattr /etc/passwd
19

20
# 移除文件属性
21
sudo chattr -i /etc/passwd

网络安全#

防火墙配置#

1
# 安装ufw（Debian/Ubuntu）
2
sudo apt install -y ufw
3

4
# 安装firewalld（RHEL/CentOS）
5
sudo yum install -y firewalld
6

7
# 配置ufw
8
sudo ufw default deny incoming
9
sudo ufw default allow outgoing
10
sudo ufw allow ssh
11
sudo ufw allow 80/tcp  # HTTP
12
sudo ufw allow 443/tcp  # HTTPS
13
sudo ufw enable
14

15
# 查看ufw状态
16
sudo ufw status
17

18
# 配置firewalld
19
sudo firewall-cmd --set-default-zone=drop
20
sudo firewall-cmd --permanent --add-service=ssh
21
sudo firewall-cmd --permanent --add-port=80/tcp  # HTTP
22
sudo firewall-cmd --permanent --add-port=443/tcp  # HTTPS
23
sudo firewall-cmd --reload
24

25
# 查看firewalld状态
26
sudo firewall-cmd --status
27

28
# 查看已开放的端口
29
sudo firewall-cmd --list-ports

SSH配置#

1
# 编辑SSH配置文件
2
sudo nano /etc/ssh/sshd_config
3

4
# 禁用root登录
5
PermitRootLogin no
6

7
# 禁用密码登录，使用密钥登录
8
PasswordAuthentication no
9
PubkeyAuthentication yes
10

11
# 限制登录用户
12
AllowUsers username
13

14
# 更改SSH端口
15
Port 2222
16

17
# 禁用X11转发
18
X11Forwarding no
19

20
# 禁用TCP端口转发
21
AllowTcpForwarding no
22

23
# 禁用Agent转发
24
AllowAgentForwarding no
25

26
# 设置登录超时
27
LoginGraceTime 30
28

29
# 重启SSH服务
30
sudo systemctl restart sshd
31

32
# 生成SSH密钥
33
ssh-keygen -t ed25519 -a 100
34

35
# 复制SSH密钥到远程服务器
36
ssh-copy-id -p 2222 username@server_ip

禁用不必要的服务#

1
# 查看所有服务
2
systemctl list-unit-files --type=service
3

4
# 查看运行中的服务
5
systemctl list-units --type=service --state=running
6

7
# 禁用不必要的服务
8
sudo systemctl stop service_name
9
sudo systemctl disable service_name
10

11
# 示例：禁用不必要的服务
12
sudo systemctl stop avahi-daemon
13
sudo systemctl disable avahi-daemon
14
sudo systemctl stop cups
15
sudo systemctl disable cups
16
sudo systemctl stop bluetooth
17
sudo systemctl disable bluetooth

高级安全加固#

SELinux配置#

1
# 查看SELinux状态
2
sestatus
3

4
# 临时设置SELinux模式
5
sudo setenforce 1  #  enforcing
6
sudo setenforce 0  #  permissive
7

8
# 永久设置SELinux模式
9
sudo nano /etc/selinux/config
10
# 设置 SELINUX=enforcing
11

12
# 查看SELinux布尔值
13
sudo getsebool -a
14

15
# 设置SELinux布尔值
16
sudo setsebool -P sshd_can_network_connect on
17

18
# 查看SELinux上下文
19
ls -Z /path/to/file
20

21
# 修改SELinux上下文
22
sudo chcon -t httpd_sys_content_t /path/to/file
23

24
# 恢复SELinux上下文
25
sudo restorecon -R /path/to/directory
26

27
# 查看SELinux日志
28
sudo ausearch -m AVC,USER_AVC,SELINUX_ERR

AppArmor配置#

1
# 查看AppArmor状态
2
sudo apparmor_status
3

4
# 查看AppArmor配置文件
5
ls /etc/apparmor.d/
6

7
# 编辑AppArmor配置文件
8
sudo nano /etc/apparmor.d/profile-name
9

10
# 启用AppArmor配置文件
11
sudo aa-enforce /etc/apparmor.d/profile-name
12

13
# 禁用AppArmor配置文件
14
sudo aa-complain /etc/apparmor.d/profile-name
15

16
# 重新加载AppArmor配置
17
sudo systemctl reload apparmor

内核安全#

内核参数配置#

1
# 编辑sysctl配置文件
2
sudo nano /etc/sysctl.conf
3

4
# 添加内核安全参数
5
# 禁用IP源路由
6
net.ipv4.conf.all.accept_source_route = 0
7
net.ipv4.conf.default.accept_source_route = 0
8

9
# 禁用ICMP重定向
10
net.ipv4.conf.all.accept_redirects = 0
11
net.ipv4.conf.default.accept_redirects = 0
12
net.ipv4.conf.all.secure_redirects = 0
13
net.ipv4.conf.default.secure_redirects = 0
14

15
# 启用反向路径过滤
16
net.ipv4.conf.all.rp_filter = 1
17
net.ipv4.conf.default.rp_filter = 1
18

19
# 禁用IPv6路由重定向
20
net.ipv6.conf.all.accept_redirects = 0
21
net.ipv6.conf.default.accept_redirects = 0
22

23
# 启用SYN cookies
24
net.ipv4.tcp_syncookies = 1
25

26
# 禁用ICMP广播应答
27
net.ipv4.icmp_echo_ignore_broadcasts = 1
28

29
# 启用ignore_bogus_error_responses
30
net.ipv4.icmp_ignore_bogus_error_responses = 1
31

32
# 限制TCP TIME_WAIT状态
33
net.ipv4.tcp_max_tw_buckets = 5000
34

35
# 启用TCP FIN状态保护
36
net.ipv4.tcp_fin_timeout = 30
37

38
# 启用TCP SYN状态保护
39
net.ipv4.tcp_synack_retries = 2
40
net.ipv4.tcp_syn_retries = 2
41

42
# 应用sysctl配置
43
sudo sysctl -p

内核模块管理#

1
# 查看已加载的内核模块
2
lsmod
3

4
# 查看内核模块信息
5
modinfo module_name
6

7
# 加载内核模块
8
sudo modprobe module_name
9

10
# 卸载内核模块
11
sudo modprobe -r module_name
12

13
# 禁止加载特定内核模块
14
sudo nano /etc/modprobe.d/blacklist.conf
15
# 添加 blacklist module_name
16

17
# 示例：禁止加载不必要的内核模块
18
blacklist bluetooth
19
blacklist rfkill
20
blacklist floppy
21
blacklist usb-storage

审计系统#

安装和配置auditd#

1
# 安装auditd（Debian/Ubuntu）
2
sudo apt install -y auditd
3

4
# 安装auditd（RHEL/CentOS）
5
sudo yum install -y auditd
6

7
# 启动并启用auditd服务
8
sudo systemctl start auditd
9
sudo systemctl enable auditd
10

11
# 查看auditd状态
12
sudo systemctl status auditd
13

14
# 编辑auditd配置文件
15
sudo nano /etc/audit/auditd.conf
16

17
# 配置审计规则
18
sudo nano /etc/audit/rules.d/audit.rules
19

20
# 添加审计规则
21
# 监控密码文件
22
-w /etc/passwd -p wa -k passwd_changes
23
-w /etc/shadow -p wa -k shadow_changes
24
-w /etc/gshadow -p wa -k gshadow_changes
25
-w /etc/group -p wa -k group_changes
26

27
# 监控sudo使用
28
-w /usr/bin/sudo -p x -k sudo_usage
29

30
# 监控登录活动
31
-w /var/log/auth.log -p wa -k auth_log_changes  # Debian/Ubuntu
32
-w /var/log/secure -p wa -k auth_log_changes  # RHEL/CentOS
33

34
# 监控网络配置
35
-w /etc/network/ -p wa -k network_changes  # Debian/Ubuntu
36
-w /etc/sysconfig/network-scripts/ -p wa -k network_changes  # RHEL/CentOS
37

38
# 监控防火墙配置
39
-w /etc/ufw/ -p wa -k firewall_changes  # Debian/Ubuntu
40
-w /etc/firewalld/ -p wa -k firewall_changes  # RHEL/CentOS
41

42
# 应用审计规则
43
sudo augenrules --load
44

45
# 查看审计日志
46
sudo ausearch -k passwd_changes
47
sudo aureport -au  # 认证报告
48
sudo aureport -l  # 登录报告
49
sudo aureport -x  # 执行报告

应用程序安全#

软件包管理#

1
# 更新软件包
2
# Debian/Ubuntu
3
sudo apt update
4
sudo apt upgrade -y
5

6
# RHEL/CentOS
7
sudo yum update -y
8
sudo yum upgrade -y
9

10
# 清理不必要的软件包
11
# Debian/Ubuntu
12
sudo apt autoremove -y
13
sudo apt clean
14

15
# RHEL/CentOS
16
sudo yum autoremove -y
17
sudo yum clean all
18

19
# 安装必要的软件包，移除不必要的软件包
20
sudo apt install -y openssh-server ufw fail2ban auditd  # Debian/Ubuntu
21
sudo yum install -y openssh-server firewalld fail2ban auditd  # RHEL/CentOS
22

23
# 禁用不必要的软件仓库
24
sudo nano /etc/apt/sources.list  # Debian/Ubuntu
25
sudo nano /etc/yum.repos.d/*.repo  # RHEL/CentOS

Web服务器安全#

Nginx安全配置#

1
# 安装Nginx
2
sudo apt install -y nginx  # Debian/Ubuntu
3
sudo yum install -y nginx  # RHEL/CentOS
4

5
# 编辑Nginx配置文件
6
sudo nano /etc/nginx/nginx.conf
7

8
# 添加安全配置
9
# http {
10
#   server_tokens off;
11
#   add_header X-Content-Type-Options nosniff;
12
#   add_header X-Frame-Options SAMEORIGIN;
13
#   add_header X-XSS-Protection "1; mode=block";
14
#   add_header Content-Security-Policy "default-src 'self';";
15
#   add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
16
# }
17

18
# 编辑虚拟主机配置文件
19
sudo nano /etc/nginx/sites-available/default
20

21
# 限制请求方法
22
# if ($request_method !~ ^(GET|POST|HEAD)$) {
23
#   return 405;
24
# }
25

26
# 限制上传文件大小
27
# client_max_body_size 10M;
28

29
# 重启Nginx服务
30
sudo systemctl restart nginx
31

32
# 测试Nginx配置
33
sudo nginx -t

Apache安全配置#

1
# 安装Apache
2
sudo apt install -y apache2  # Debian/Ubuntu
3
sudo yum install -y httpd  # RHEL/CentOS
4

5
# 编辑Apache配置文件
6
sudo nano /etc/apache2/apache2.conf  # Debian/Ubuntu
7
sudo nano /etc/httpd/conf/httpd.conf  # RHEL/CentOS
8

9
# 添加安全配置
10
# ServerTokens Prod
11
# ServerSignature Off
12
# TraceEnable Off
13
# Header set X-Content-Type-Options "nosniff"
14
# Header set X-Frame-Options "SAMEORIGIN"
15
# Header set X-XSS-Protection "1; mode=block"
16
# Header set Content-Security-Policy "default-src 'self';"
17
# Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
18

19
# 启用必要的模块
20
sudo a2enmod headers  # Debian/Ubuntu
21
sudo a2enmod rewrite  # Debian/Ubuntu
22

23
# 重启Apache服务
24
sudo systemctl restart apache2  # Debian/Ubuntu
25
sudo systemctl restart httpd  # RHEL/CentOS
26

27
# 测试Apache配置
28
sudo apache2ctl configtest  # Debian/Ubuntu
29
sudo httpd -t  # RHEL/CentOS

数据库安全#

MySQL/MariaDB安全配置#

1
# 安装MySQL/MariaDB
2
sudo apt install -y mysql-server  # Debian/Ubuntu
3
sudo yum install -y mariadb-server  # RHEL/CentOS
4

5
# 运行安全加固脚本
6
# MySQL
7
sudo mysql_secure_installation
8

9
# MariaDB
10
sudo mysql_secure_installation
11

12
# 编辑MySQL配置文件
13
sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf  # Debian/Ubuntu
14
sudo nano /etc/my.cnf.d/mariadb-server.cnf  # RHEL/CentOS
15

16
# 添加安全配置
17
# bind-address = 127.0.0.1
18
# skip-networking = 1
19
# max_connections = 100
20
# max_connect_errors = 10
21
# wait_timeout = 60
22
# interactive_timeout = 60
23
# tmp_table_size = 32M
24
# max_heap_table_size = 32M
25

26
# 重启MySQL/MariaDB服务
27
sudo systemctl restart mysql  # Debian/Ubuntu
28
sudo systemctl restart mariadb  # RHEL/CentOS
29

30
# 创建受限数据库用户
31
mysql -u root -p
32
# CREATE USER 'user'@'localhost' IDENTIFIED BY 'password';
33
# GRANT SELECT, INSERT, UPDATE, DELETE ON database.* TO 'user'@'localhost';
34
# FLUSH PRIVILEGES;
35
# EXIT;

PostgreSQL安全配置#

1
# 安装PostgreSQL
2
sudo apt install -y postgresql  # Debian/Ubuntu
3
sudo yum install -y postgresql-server  # RHEL/CentOS
4

5
# 初始化PostgreSQL（RHEL/CentOS）
6
sudo postgresql-setup --initdb
7

8
# 编辑PostgreSQL配置文件
9
sudo nano /etc/postgresql/13/main/postgresql.conf  # Debian/Ubuntu
10
sudo nano /var/lib/pgsql/data/postgresql.conf  # RHEL/CentOS
11

12
# 添加安全配置
13
# listen_addresses = 'localhost'
14
# max_connections = 100
15
# ssl = on
16
# ssl_cert_file = '/etc/ssl/certs/ssl-cert-snakeoil.pem'
17
# ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
18

19
# 编辑pg_hba.conf文件
20
sudo nano /etc/postgresql/13/main/pg_hba.conf  # Debian/Ubuntu
21
sudo nano /var/lib/pgsql/data/pg_hba.conf  # RHEL/CentOS
22

23
# 配置认证方式
24
# local   all             postgres                                peer
25
# local   all             all                                     md5
26
# host    all             all             127.0.0.1/32            md5
27
# host    all             all             ::1/128                 md5
28

29
# 重启PostgreSQL服务
30
sudo systemctl restart postgresql  # Debian/Ubuntu
31
sudo systemctl restart postgresql  # RHEL/CentOS
32

33
# 创建受限数据库用户
34
sudo -u postgres psql
35
# CREATE USER user WITH PASSWORD 'password';
36
# CREATE DATABASE database OWNER user;
37
# GRANT ALL PRIVILEGES ON DATABASE database TO user;
38
#

安全监控和审计#

入侵检测系统#

安装和配置OSSEC#

1
# 下载OSSEC
2
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
3

4
# 解压OSSEC
5
tar -xzf 3.6.0.tar.gz
6
cd ossec-hids-3.6.0/
7

8
# 安装OSSEC
9
./install.sh
10

11
# 启动OSSEC服务
12
sudo /var/ossec/bin/ossec-control start
13

14
# 查看OSSEC状态
15
sudo /var/ossec/bin/ossec-control status
16

17
# 查看OSSEC日志
18
sudo tail -f /var/ossec/logs/alerts/alerts.log
19

20
# 查看OSSEC报告
21
sudo /var/ossec/bin/ossec-reportd -a

安装和配置Wazuh#

1
# 安装Wazuh服务器
2
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
3
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee -a /etc/apt/sources.list.d/wazuh.list
4
sudo apt update
5
sudo apt install -y wazuh-manager
6

7
# 启动并启用Wazuh服务
8
sudo systemctl start wazuh-manager
9
sudo systemctl enable wazuh-manager
10

11
# 查看Wazuh状态
12
sudo systemctl status wazuh-manager
13

14
# 安装Wazuh代理
15
sudo apt install -y wazuh-agent
16

17
# 配置Wazuh代理
18
sudo nano /var/ossec/etc/ossec.conf
19
# 设置 <server-ip>Wazuh服务器IP</server-ip>
20

21
# 启动并启用Wazuh代理
22
sudo systemctl start wazuh-agent
23
sudo systemctl enable wazuh-agent
24

25
# 查看Wazuh代理状态
26
sudo systemctl status wazuh-agent

漏洞扫描#

安装和使用OpenVAS#

1
# 安装OpenVAS（Debian/Ubuntu）
2
sudo apt install -y openvas
3

4
# 初始化OpenVAS
5
sudo gvm-setup
6

7
# 启动OpenVAS服务
8
sudo gvm-start
9

10
# 访问OpenVAS Web界面
11
# https://localhost:9392
12

13
# 使用OpenVAS命令行工具
14
gvm-cli --gmp-username admin --gmp-password password socket --socketpath /var/run/openvas/openvas.sock --xml="<create_task><name>Scan Task</name><target id='target-id'/></create_task>"

安装和使用Nmap#

1
# 安装Nmap
2
sudo apt install -y nmap  # Debian/Ubuntu
3
sudo yum install -y nmap  # RHEL/CentOS
4

5
# 扫描开放端口
6
nmap -sT -p 1-65535 localhost
7

8
# 扫描操作系统
9
nmap -O localhost
10

11
# 扫描服务版本
12
nmap -sV localhost
13

14
# 扫描漏洞
15
nmap --script vuln localhost
16

17
# 扫描常见端口
18
nmap -F localhost
19

20
# 扫描多个主机
21
nmap 192.168.1.1-100

安全日志分析#

安装和配置ELK Stack#

1
# 安装Elasticsearch
2
# 参考官方文档
3

4
# 安装Logstash
5
# 参考官方文档
6

7
# 安装Kibana
8
# 参考官方文档
9

10
# 配置Filebeat收集日志
11
# 参考官方文档
12

13
# 访问Kibana Web界面
14
# http://localhost:5601

安装和配置Graylog#

1
# 安装Graylog
2
# 参考官方文档
3

4
# 配置Graylog输入
5
# 参考官方文档
6

7
# 访问Graylog Web界面
8
# http://localhost:9000

安全应急响应#

安全事件检测#

1
# 查看登录记录
2
last
3
lastb
4

5
# 查看认证日志
6
grep "Failed password" /var/log/auth.log  # Debian/Ubuntu
7
grep "Failed password" /var/log/secure  # RHEL/CentOS
8

9
# 查看sudo使用情况
10
grep "sudo" /var/log/auth.log  # Debian/Ubuntu
11
grep "sudo" /var/log/secure  # RHEL/CentOS
12

13
# 查看网络连接
14
netstat -tulnp
15
ss -tulnp
16

17
# 查看异常进程
18
ps aux | grep "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"
19
ps aux | grep "\./"
20

21
# 查看异常文件
22
find / -name "*.sh" -mtime -1 -type f
23
find / -perm -4000 -type f
24

25
# 查看系统调用
26
strace -p PID

安全事件响应#

1
# 隔离受感染的系统
2
# 断开网络连接
3

4
# 收集证据
5
# 复制日志文件
6
# 保存内存镜像
7
# 保存磁盘镜像
8

9
# 终止恶意进程
10
sudo kill -9 PID
11

12
# 删除恶意文件
13
sudo rm -f /path/to/malicious/file
14

15
# 移除恶意账户
16
sudo userdel username
17

18
# 重置密码
19
sudo passwd username
20

21
# 重新配置安全设置
22
# 重新配置防火墙
23
# 重新配置SSH
24
# 重新配置认证
25

26
# 扫描系统漏洞
27
sudo nmap --script vuln localhost
28

29
# 更新系统和应用程序
30
sudo apt update && sudo apt upgrade -y  # Debian/Ubuntu
31
sudo yum update -y  # RHEL/CentOS
32

33
# 验证系统安全状态
34
# 运行安全扫描
35
# 检查系统日志
36
# 检查系统配置

安全加固最佳实践#

定期安全审计#

系统审计：定期检查系统配置、账户、权限等
网络审计：定期检查网络配置、防火墙规则、开放端口等
应用审计：定期检查应用程序配置、漏洞等
安全扫描：定期运行漏洞扫描工具，发现和修复安全漏洞
日志分析：定期分析系统日志，发现异常活动

安全更新#

及时更新：及时更新系统和应用程序，修补已知的安全漏洞
测试更新：在测试环境中测试更新，确保更新不会影响系统运行
备份：在更新前备份系统和数据，防止更新失败导致系统故障
更新策略：制定合理的更新策略，平衡安全性和稳定性

安全培训#

用户培训：培训用户安全意识，如密码管理、钓鱼防范等
管理员培训：培训系统管理员安全技能，如安全配置、漏洞修复等
应急响应培训：培训安全团队应急响应技能，如安全事件处理、取证分析等

安全文档#

安全策略：制定系统安全策略，明确安全要求和责任
安全配置指南：制定系统安全配置指南，规范安全配置
应急响应计划：制定安全应急响应计划，明确安全事件处理流程
安全审计报告：记录安全审计结果，跟踪安全问题的修复情况

常见安全问题及解决方案#

密码破解#

症状：系统日志中出现大量失败的登录尝试。

解决方案：

配置fail2ban，禁止多次失败的登录尝试
实施强密码策略，要求使用复杂密码
启用双因素认证
限制登录时间和地点

权限提升#

症状：非特权用户获取了特权访问权限。

解决方案：

实施最小权限原则，限制用户权限
定期检查SUID/SGID文件，移除不必要的权限
启用SELinux或AppArmor，限制进程权限
定期审计用户权限，发现和修复权限问题

网络攻击#

症状：系统遭受DDoS攻击、端口扫描等网络攻击。

解决方案：

配置防火墙，限制入站流量
使用入侵检测系统，检测和阻止网络攻击
启用SYN cookies，防止SYN洪水攻击
配置网络流量限制，防止DDoS攻击

恶意软件#

症状：系统中发现恶意软件，如病毒、木马、勒索软件等。

解决方案：

安装杀毒软件，定期扫描系统
启用入侵检测系统，检测和阻止恶意软件
定期更新系统和应用程序，修补已知的安全漏洞
加强用户培训，提高安全意识

数据泄露#

症状：敏感数据被未授权访问或泄露。

解决方案：

加密敏感数据，保护数据安全
实施访问控制，限制对敏感数据的访问
启用数据审计，跟踪数据访问
制定数据泄露响应计划，及时处理数据泄露事件

总结#

本文介绍了Linux系统中常用的安全加固命令和技巧，包括系统基础安全加固、高级安全加固、应用程序安全、安全监控和审计、安全应急响应等方面的内容。通过掌握这些命令和技巧，系统管理员可以更高效地保护Linux系统，提高系统的安全性、可靠性和稳定性。

安全加固是一个持续的过程，需要系统管理员不断学习和实践，积累经验。在安全加固过程中，系统管理员需要平衡安全性和可用性，根据系统的实际情况选择合适的安全措施。同时，系统管理员还需要关注安全技术的发展趋势，及时更新知识，以适应新的安全挑战。

练习#

实施系统基础安全加固，包括账户安全、密码策略、文件系统安全等。
配置防火墙，限制入站和出站流量。
配置SSH安全，禁止root远程登录，使用密钥认证。
安装和配置SELinux或AppArmor，增强系统安全。
配置内核安全参数，提高系统安全性。
安装和配置auditd，启用系统审计。
安装和配置入侵检测系统，如OSSEC或Wazuh。
定期运行安全扫描工具，发现和修复安全漏洞。
制定安全应急响应计划，模拟安全事件处理。
定期进行安全审计，评估系统安全状态。

溪谷回声

这里是鹁鸪的思考之地

Linux系统安全加固命令和技巧

Linux系统安全加固命令和技巧#

安全加固概述#

安全加固原则#

最小权限原则#

纵深防御原则#

安全更新原则#

安全审计原则#

系统基础安全加固#

账户安全#

禁用不必要的账户#

密码策略#

限制root登录#

限制登录尝试#

文件系统安全#

文件权限#

挂载选项#

敏感文件保护#

网络安全#

防火墙配置#

SSH配置#

禁用不必要的服务#

高级安全加固#

SELinux配置#

AppArmor配置#

内核安全#

内核参数配置#

内核模块管理#

审计系统#

安装和配置auditd#

应用程序安全#

软件包管理#

Web服务器安全#

Nginx安全配置#

Apache安全配置#

数据库安全#

MySQL/MariaDB安全配置#

PostgreSQL安全配置#

安全监控和审计#

入侵检测系统#

安装和配置OSSEC#

安装和配置Wazuh#

漏洞扫描#

安装和使用OpenVAS#

安装和使用Nmap#

安全日志分析#

安装和配置ELK Stack#

安装和配置Graylog#

安全应急响应#

安全事件检测#

安全事件响应#

安全加固最佳实践#

定期安全审计#

安全更新#

安全培训#

安全文档#

常见安全问题及解决方案#

密码破解#

权限提升#

网络攻击#

恶意软件#

数据泄露#

总结#

练习#

支持与分享

评论区

目录