Linux安全

一、账户与认证安全

1. 密码策略配置

# /etc/login.defs
PASS_MAX_DAYS   90      # 密码最长使用90天
PASS_MIN_DAYS   7       # 密码最小使用7天
PASS_MIN_LEN    8       # 密码最小长度8位
PASS_WARN_AGE   7       # 密码过期前7天警告

2. 密码复杂度要求

# /etc/pam.d/system-auth
password requisite pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 enforce_for_root

3. 登录失败锁定

# /etc/pam.d/system-auth
auth required pam_faillock.so preauth silent audit deny=5 unlock_time=60 even_deny_root
account required pam_faillock.so

二、SSH服务安全

1. SSH配置加固

# /etc/ssh/sshd_config
Port 2222                        # 修改默认端口
PermitRootLogin no              # 禁止root直接登录
PasswordAuthentication yes      # 确认开启密码登录
Protocol 2                      # 仅使用SSHv2
MaxAuthTries 3                  # 最大认证尝试次数
ClientAliveInterval 300         # 客户端活跃检查
ClientAliveCountMax 2           # 最大活跃检查次数

2. 重启SSH服务

systemctl restart sshd
systemctl restart ssh
sshd -t                         # 测试配置语法
grep -E '^PasswordAuthentication' /etc/ssh/sshd_config # 验证 SSH 是否开启密码登录

三、文件系统安全

1. 关键文件权限设置

chmod 600 /etc/shadow /etc/gshadow
chmod 644 /etc/passwd /etc/group
chmod 700 /root
chmod 755 /etc /bin /sbin /usr/bin /usr/sbin

2. 临时目录安全挂载

# /etc/fstab
tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0
tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev 0 0

# 立即生效
mount -o remount /tmp

3. 文件完整性监控

# 安装aide
yum install -y aide || apt install -y aide

# 初始化数据库
aide --init
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

# 定时检查
echo "0 2 * * * /usr/sbin/aide --check >> /var/log/aide_check.log" >> /etc/crontab

四、服务与进程安全

1. 禁用不必要服务

systemctl disable --now telnetd rshd rlogind bluetooth avahi-daemon cups rpcbind

# 彻底禁用
systemctl mask telnetd rshd

2. 进程资源限制

# /etc/security/limits.conf
* hard nofile 65535
* soft nofile 65535
* hard nproc 4096
* soft nproc 2048
* hard core 0
root hard nproc 8192

五、网络与防火墙

1. 防火墙配置

systemctl enable --now firewalld

# 开放SSH新端口，关闭默认端口
firewall-cmd --permanent --add-port=2222/tcp
firewall-cmd --permanent --remove-port=22/tcp
firewall-cmd --reload

2. 内核网络参数

# /etc/sysctl.conf
net.ipv4.tcp_syncookies = 1
net.ipv4.ip_forward = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 1
kernel.sysrq = 0

# 立即生效
sysctl -p

六、日志与审计

1. 系统审计配置

systemctl enable --now auditd

# 添加审计规则
auditctl -w /etc/passwd -p rwxa -k passwd_change
auditctl -w /etc/shadow -p rwxa -k shadow_change
auditctl -w /usr/bin/sudo -p x -k sudo_exec

# 保存规则
augenrules --load

2. 登录会话超时

# /etc/profile
export TMOUT=300
readonly TMOUT

# 立即生效
source /etc/profile

七、显示管理器安全（桌面环境）

1. LightDM配置

# /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf
[Seat:*]
# autologin-user=ubuntu      # 注释自动登录
allow-guest=false           # 禁用来宾账户
greeter-hide-users=true     # 隐藏用户列表
user-session=ubuntu

2. PAM配置同步

# /etc/pam.d/gdm-password 和 /etc/pam.d/gdm-autologin
# 同步密码复杂度规则
password requisite pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

# 同步失败锁定规则
auth required pam_faillock.so preauth silent audit deny=5 unlock_time=60
account required pam_faillock.so

八、Sudo权限控制

1. Sudo精细授权

visudo

# 示例：允许appuser重启nginx
appuser ALL=(ALL) /usr/bin/systemctl restart nginx, /usr/bin/systemctl reload nginx

# 启用sudo日志
Defaults logfile="/var/log/sudo.log"
Defaults timestamp_timeout=1

九、应急响应命令

1. 系统资源检查

top -o %CPU                    # CPU使用率排序
htop                          # 增强版进程查看
lsof -i :22                   # 查看SSH连接
netstat -antp | grep ESTABLISHED  # 活跃网络连接

2. 安全状态检查

last -i | grep -v "0.0.0.0"    # 非本地登录记录
grep ":0:" /etc/passwd         # 特权用户检查
find / -perm -4000 2>/dev/null # SUID文件检查
systemctl list-unit-files --state=enabled  # 自启动服务

十、系统修复命令

1. 救援模式进入

# GRUB启动参数添加：
systemd.unit=rescue.target
# 或
single

2. 常见修复命令

fsck -y /dev/sda1              # 文件系统修复
grub-install /dev/sda          # GRUB引导修复
update-grub                    # 更新GRUB配置
mount -o remount,rw /          # 重新挂载为读写
passwd root                    # 重置root密码

提醒

测试环境先行：所有配置先在测试环境验证

备份配置：修改前备份原始配置文件

渐进实施：分批实施，观察业务影响

监控告警：配置安全事件监控和告警

定期审计：定期检查安全配置有效性