文章总结: 这篇文章系统性地介绍了Linux系统安全配置优化的三大核心维度:权限管控、服务精简与网络防护。通过具体命令和实操步骤,详细阐述了如何通过root权限隔离、sudo权限精细化、禁用冗余服务、配置防火墙等措施提升系统安全性。文章还推荐了多种开源和国产安全工具,帮助管理员构建从被动防御到主动免疫的体系化安全防护,为Linux系统筑牢基础安全防线。 综合评分: 93 文章分类: 安全建设,网络安全,终端安全,安全工具,其他
Linux系统安全配置优化指南:权限管控、服务精简与网络防护
原创
信息安全官
信息安全官
2025年12月3日 18:51 北京
一、引言:系统安全如家庭防护,三层屏障缺一不可
家庭安全需要 “防盗门(权限管控)、闲置房间上锁(服务精简)、窗户防护网(网络防护)” 的三重保障:若防盗门钥匙随意摆放(权限滥用)、闲置房间门敞开(冗余服务运行)、窗户无防护(网络端口暴露),小偷就能轻易潜入;Linux 系统的安全隐患也源于此 —— 普通用户拥有管理员权限、无用服务后台运行、防火墙规则宽松,这些 “防护漏洞” 让黑客有机可乘。
行业实践表明,多数 Linux 安全事件并非因系统本身存在高危漏洞,而是配置不当所致。就像优质家庭不会只靠一道门防盗,而是通过 “门锁 + 监控 + 环境管理” 构建多层防护,Linux 系统安全也需从权限、服务、网络三个核心维度搭建 “纵深防御体系”。本文将用生活化类比、精准可执行的命令,完整呈现系统安全配置优化方案,规避过往命令误差,补充主流工具与国产合规方案,为系统筑牢基础安全防线。
二、用户权限优化:给系统装 “分级防盗锁”
用户权限管控如同家庭 “分级钥匙管理”:主人持有全屋钥匙(root 权限)、保姆仅能打开客厅和厨房(运维权限)、访客无钥匙(普通用户权限)。一旦权限混乱,就可能出现 “访客随意进入卧室” 的风险。优化核心是 “权限隔离 + 最小授权”,让每个用户仅拥有 “刚好够用” 的权限。
(一)核心优化原则:角色分级 + 权限收口
明确普通用户、运维用户、管理员的权限边界,禁止跨角色越权操作,同时收回冗余权限,避免 “一人掌握所有钥匙” 的风险。
(二)具体配置步骤与命令(经实测可执行)
root 权限隔离:禁用直接登录,仅留应急通道
root 是系统 “最高权限钥匙”,需彻底禁止日常使用和远程登录,仅通过 sudo 应急调用。
禁用 root 远程登录:
vim /etc/ssh/sshd_config
关键配置(无冗余参数):
PermitRootLogin no # 唯一有效值,禁用root远程登录PasswordAuthentication yes # 保留密码认证(需密钥认证可改为no)PermitEmptyPasswords no # 禁用空密码,补充安全校验
生效并验证:
systemctl restart sshd && systemctl status sshd # 重启后确认active状态
限制 root 本地登录(物理机强化):
vim /etc/securetty
注释所有终端(如 tty1-tty6),仅保留必要管理终端(如 ttyS0)。
sudo 权限精细化:避免 “万能钥匙”
拒绝宽泛的 sudo 授权,仅开放运维必需的命令,降低权限泄露风险。
创建运维专用用户:
useradd -m -s /bin/bash opsuser # 创建带家目录的运维用户passwd opsuser # 设置复杂度密码(字母+数字+特殊符号)
精准配置 sudo 权限:
visudo # 语法校验模式,避免配置错误
添加配置(限定核心管理命令):
opsuser ALL=(ALL) NOPASSWD: /usr/bin/systemctl, /usr/bin/firewall-cmd, /usr/bin/ss, /usr/bin/lsof, /usr/bin/journalctl
验证效果:
su - opsuser && sudo systemctl status sshd # 允许执行的命令正常运行sudo rm -rf / # 禁止执行的命令提示权限不足
密码策略硬化:打造 “高强度钥匙”
采用pwquality模块实现跨系统兼容的密码策略,避免弱密码被破解。
配置密码复杂度:
vim /etc/security/pwquality.conf
核心配置(参数无歧义):
minlen = 12 # 最小12位dcredit = -2 # 至少2个数字ucredit = -2 # 至少2个大写字母lcredit = -2 # 至少2个小写字母ocredit = -2 # 至少2个特殊符号maxrepeat = 3 # 禁止3个连续重复字符reject_username = yes # 禁止使用用户名enforce_for_root = yes # root用户同样生效
账户锁定与密码有效期:
vim /etc/login.defs
配置内容:
PASS_MAX_DAYS 90 # 密码90天过期PASS_MIN_DAYS 10 # 10天内不可重复修改PASS_WARN_AGE 10 # 过期前10天提醒
连续输错锁定配置:
vim /etc/pam.d/system-auth
添加:
auth required pam_faillock.so preauth silent audit deny=5 unlock_time=600auth [success=1 default=bad] pam_unix.soauth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=600account required pam_faillock.so
权限审计与清理:定期 “盘点钥匙”
清理无用账户和冗余权限,避免 “遗忘的钥匙” 被滥用。
列出可登录用户:
cat /etc/passwd | awk -F: '$7 ~ /\/bin\/bash|\/bin\/sh/ {print $1}'
清理冗余权限:
userdel -r olduser # 彻底删除无用用户(含家目录)gpasswd -d opsuser wheel # 移除不必要的用户组rm -f /etc/sudoers.d/expired.conf # 删除过期sudo配置
审计权限配置:
sudo -l -U opsuser # 查看特定用户sudo权限auditctl -w /etc/sudoers -p rwxa # 监控sudo配置文件变更
(三)推荐工具(主流开源 + 合规国产)
开源工具(持续更新 + 高知名度)
sudo:全球使用率第一的权限管理工具,稳定更新,支持细粒度授权(官网:https://www.sudo.ws/)。
libpwquality:密码质量校验标准库,兼容主流 Linux 发行版,替代老旧的 pam_cracklib(官网:https://github.com/libpwquality/libpwquality)。
fail2ban:基于日志的暴力破解防护工具,支持 SSH、FTP 等服务,自动封禁异常 IP(官网:https://www.fail2ban.org/)。
auditd:系统内置审计工具,记录权限变更、登录操作,支持安全事件追溯(官网:https://people.redhat.com/sgrubb/audit/)。
国产工具(合规适配 + 本地化支持)
奇安信天擎终端安全管理系统:支持 Linux 权限分级管控、操作审计,搭载自研 QOWL 引擎,兼容信创系统(官网:https://www.qianxin.com/)。
安恒信息明御终端安全系统:提供账户全生命周期管理、密码策略统一推送,适配麒麟、统信等国产 Linux(官网:https://www.dbappsecurity.com.cn/)。
启明星辰天清汉马终端安全系统:支持权限风险智能扫描、冗余账户一键清理,融入 AI 安全检测能力(官网:https://www.venustech.com.cn/)。
三、服务配置优化:给系统 “关闲置房间”,减漏洞暴露面
Linux 系统默认启动的冗余服务,如同家庭中 “长期闲置却不上锁的房间”—— 不仅浪费电力(系统资源),还可能因窗户未关(漏洞未修复)让小偷潜入。优化核心是 “必需服务最小化 + 运行权限降权”,仅保留业务必需服务,且以普通用户身份运行。
(一)核心优化原则:按需启用 + 降权运行
杜绝 “开机自启所有服务”,仅保留支撑业务的核心服务;所有服务均使用非 root 用户运行,即使服务被攻破,黑客也无法获取最高权限。
(二)具体配置步骤与命令(无无效操作)
识别冗余服务:精准 “排查闲置房间”
结合端口监听与服务依赖,筛选无用服务,避免误关核心服务。
关联查询运行服务与端口:
systemctl list-units --type=service --state=running # 列出运行中服务ss -tulnp # 端口-服务-进程PID关联查询lsof -i # 补充查询进程占用端口
常见冗余服务(必禁用场景):
rsh-server、rlogin:明文传输的远程登录服务,无加密防护。
ftp-server:明文文件传输,可用 SSH 内置的 SFTP 替代。
telnet-server:明文终端服务,SSH 是安全替代方案。
avahi-daemon:局域网服务发现,服务器环境无需启用。
cups:打印服务,无打印需求时必须禁用。
禁用冗余服务:彻底 “上锁闲置房间”
禁用服务需 “停止运行 + 禁止自启 + 屏蔽防止误启动” 三步到位。
禁用示例(以 telnet-server 为例):
systemctl stop telnet-server # 停止当前运行的服务systemctl disable --now telnet-server # 禁止开机自启(--now同步停止)systemctl mask telnet-server # 屏蔽服务,防止意外启用
多重验证禁用效果:
systemctl is-enabled telnet-server # 输出masked即为成功systemctl status telnet-server # 确认处于inactive状态ss -tulnp | grep 23 # 无输出说明端口已关闭
服务降权运行:给 “房间配普通钥匙”
为核心服务创建专用普通用户,避免以 root 身份运行。
以 nginx 为例配置降权:
useradd -r -s /sbin/nologin nginx # 创建系统用户,无家目录且禁止登录chown -R nginx:nginx /usr/share/nginx/html # 授权网站目录
修改 systemd 服务配置:
vim /usr/lib/systemd/system/nginx.service
补充[Service]段配置:
[Service]User=nginx # 运行用户为nginxGroup=nginx # 运行用户组为nginxPrivateTmp=yes # 启用独立临时目录,隔离风险ProtectSystem=full # 只读挂载根文件系统,防止篡改NoNewPrivileges=yes # 禁止权限提升
生效并验证:
systemctl daemon-reload && systemctl restart nginxps -ef | grep nginx | grep -v grep # 确认进程属主为nginx
核心服务加固:给 “常用房间装防护”
对 SSH、Web 等核心服务,补充安全配置,减少攻击面。
SSH 服务深度加固:
vim /etc/ssh/sshd_config
关键配置:
Port 2222 # 修改默认端口,避开扫描AllowUsers opsuser # 仅允许运维用户登录MaxAuthTries 3 # 最大3次认证尝试,防暴力破解ClientAliveInterval 30 # 30秒无操作发心跳包ClientAliveCountMax 3 # 3次无响应自动断开DisableForwarding yes # 禁用端口转发,防止内网穿透
生效验证:
systemctl restart sshdssh -p 2222 opsuser@服务器IP # 测试正常登录ssh -p 2222 root@服务器IP # 测试root登录被拒绝
服务日志审计:给 “房间装监控”
开启服务日志,及时发现异常行为(如暴力破解、异常访问)。
配置 rsyslog 集中记录:
vim /etc/rsyslog.conf
启用核心配置:
authpriv.* /var/log/auth.log # 认证日志(SSH登录等)*.err;*.warning /var/log/error.log # 错误与警告日志
重启服务:
systemctl restart rsyslog
日志轮转配置(避免日志过大):
cat /etc/logrotate.d/rsyslog
核心配置:
/var/log/auth.log /var/log/error.log { daily missingok rotate 30 compress delaycompress notifempty create 0640 root adm}
(三)推荐工具(主流开源 + 合规国产)
开源工具(持续更新 + 高实用性)
systemd:Linux 默认初始化系统,服务管理核心工具,2024 年仍有功能迭代(官网:https://www.freedesktop.org/wiki/Software/systemd/)。
rsyslog:高性能日志收集工具,支持集中管理与转发,活跃维护(官网:https://www.rsyslog.com/)。
nmap:端口扫描与服务探测工具,全球安全人员必备,2024 年持续更新(官网:https://nmap.org/)。
sysdig:系统级监控工具,实时追踪服务运行状态,检测异常行为(官网:https://sysdig.com/)。
国产工具(合规适配 + 企业级支持)
深信服安全感知平台:支持 Linux 服务日志分析、异常进程检测,提供可视化告警面板(官网:https://www.sangfor.com/)。
安恒信息明御日志审计系统:集中收集服务日志,支持安全事件追溯与合规审计(官网:https://www.dbappsecurity.com.cn/)。
启明星辰天清汉马防火墙:联动终端管控服务端口,阻断异常访问,融入 AI 威胁检测能力(官网:https://www.venustech.com.cn/)。
四、网络设置优化:给系统 “装防护网”,守好边界入口
Linux 系统的网络设置如同家庭 “外围防护网 + 门禁”—— 防护网划定安全边界(防火墙规则),门禁限制进出人员(端口管控),监控记录通行情况(网络日志)。若防护网有缺口(防火墙规则宽松)、门禁未启用(端口开放过多),黑客就能通过网络入侵。优化核心是 “最小开放 + 精准管控”。
(一)核心优化原则:端口白名单 + 访问管控
仅开放业务必需端口,仅允许可信 IP 访问核心服务,拒绝所有非必要网络连接。
(二)具体配置步骤与命令(精准可执行)
防火墙配置:筑牢 “防护网”
主流 Linux 系统自带 firewalld(动态防火墙)和 iptables(传统防火墙),二选一即可,推荐 firewalld(配置灵活、实时生效)。
方案 1:firewalld 配置(推荐)
启动并自启:
systemctl start firewalldsystemctl enable firewalldsystemctl status firewalld # 验证active状态
开放必需端口(Web 服务示例):
firewall-cmd --permanent --add-port=80/tcpfirewall-cmd --permanent --add-port=443/tcpfirewall-cmd --reload # 重载生效
配置访问白名单(数据库场景):
# 仅允许应用服务器IP(192.168.1.200)访问3306端口firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.200" port protocol="tcp" port="3306" accept'firewall-cmd --reload
禁止 ICMP ping(防止网络探测):
firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" reject'firewall-cmd --reload
查看规则:
firewall-cmd --list-portsfirewall-cmd --list-rich-rules
方案 2:iptables 配置(传统场景)
安装并启动:
# Debian系apt install -y iptables iptables-persistent# RHEL系dnf install -y iptables iptables-servicessystemctl start iptables && systemctl enable iptables
核心规则配置:
iptables -F # 清空规则iptables -A INPUT -i lo -j ACCEPT # 允许本地回环iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开放Web端口iptables -A INPUT -p tcp --dport 443 -j ACCEPTiptables -A INPUT -p tcp --dport 3306 -s 192.168.1.200 -j ACCEPT # 数据库白名单iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许已建立连接iptables -A INPUT -j DROP # 拒绝其他所有入站# 保存规则netfilter-persistent save # Debian系service iptables save # RHEL系
验证规则:
iptables -L -n
禁用不安全网络功能:修补 “防护网缺口”
禁用 IPv6(无需使用时):
vim /etc/sysctl.conf
添加:
net.ipv6.conf.all.disable_ipv6 = 1net.ipv6.conf.default.disable_ipv6 = 1
生效:
sysctl -p && ip addr | grep inet6 # 无输出则禁用成功
禁用 ICMP 重定向(防网络欺骗):
vim /etc/sysctl.conf
添加:
net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.default.send_redirects = 0
生效:
sysctl -p
网络参数硬化:加固 “防护网结构”
优化 TCP/IP 参数,提升抗攻击能力:
vim /etc/sysctl.conf
添加核心配置:
net.ipv4.tcp_syncookies = 1 # 防范SYN Flood攻击net.ipv4.tcp_max_syn_backlog = 1024 # 限制半连接队列net.ipv4.tcp_max_tw_buckets = 5000 # 减少TIME_WAIT连接net.ipv4.tcp_tw_reuse = 1 # 复用TIME_WAIT连接net.ipv4.tcp_fin_timeout = 30 # 缩短FIN_WAIT超时net.ipv4.ip_local_port_range = 1024 65535 # 端口范围
生效:
sysctl -p
网络日志审计:安装 “监控摄像头”
firewalld 日志配置:
firewall-cmd --permanent --set-log-denied=infofirewall-cmd --reloadtail -f /var/log/firewalld # 实时监控grep "REJECT" /var/log/firewalld # 筛选被拒连接
iptables 日志配置:
iptables -A INPUT -j LOG --log-prefix "IPTABLES_REJECT: " --log-level 6iptables -A INPUT -j DROPservice iptables savetail -f /var/log/messages | grep "IPTABLES_REJECT"
(三)推荐工具(主流开源 + 合规国产)
开源工具(持续更新 + 高兼容性)
firewalld:动态防火墙工具,默认预装主流发行版,支持实时配置(官网:https://firewalld.org/)。
iptables:传统防火墙工具,功能强大,长期活跃维护(官网:https://www.netfilter.org/projects/iptables/)。
nftables:iptables 升级版,性能更优,2024 年持续迭代(官网:https://www.netfilter.org/projects/nftables/)。
tcpdump:网络抓包工具,实时捕获数据包,排查异常连接(官网:https://www.tcpdump.org/)。
国产工具(合规适配 + 威胁防护)
奇安信天擎终端安全管理系统:支持防火墙规则统一配置、网络异常检测,符合等保 2.0(官网:https://www.qianxin.com/)。
深信服下一代防火墙(NGAF):联动终端管控网络访问,拦截恶意流量(官网:https://www.sangfor.com/)。
启明星辰天清汉马 IPS:识别端口扫描、SQL 注入等攻击,强化边界防护(官网:https://www.venustech.com.cn/)。
总结:从”被动防御”到”主动免疫”的体系化演进
从用户权限、服务配置、网络设置三大关键维度,系统性阐述 Linux 系统安全优化策略:权限治理方面,深度耦合分级授权架构与最小权限原则,精准管控资源访问边界,规避权限错配风险;服务优化环节,采用冗余服务瘦身结合进程权限最小化方案,压缩潜在攻击面;网络安全防护上,运用端口最小开放与流量精细化管控机制,保障网络安全。所有实操指令均经严格环境验证,推荐的开源工具库兼顾国际主流安全组件与国内合规要求的本土化方案,确保技术方案的先进性与合规性。
系统安全配置优化作为网络安全防御体系的基石,虽能有效抵御常规安全威胁,但在面对高级持续性威胁(APT)、零日漏洞等复杂攻击场景时,仍需更系统化、标准化的安全加固策略。后续《Linux 系统安全加固标准与实践》专题将深度对接等保 2.0 等国家级安全标准,围绕标准化防护核心,提供涵盖安全基线核查清单、漏洞全生命周期管理方案、合规性验证流程等实战化工具包,实现从基础安全配置向体系化安全防护的跨越升级,夯实数字资产安全防线。
查看原文:《Linux系统安全配置优化指南:权限管控、服务精简与网络防护》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论