Linux分卷如何进行安全检查

Linux分卷安全检查清单

一 基础清点与配置核对

• 识别与映射：使用lsblk、blkid、df -hT、mount核对块设备、文件系统类型、挂载点与容量，确保实际挂载与预期一致，避免误挂载或重复挂载。
• LVM状态：用vgs、lvs、lvdisplay查看卷组/逻辑卷状态、大小与属性，确认PE/LE、LV状态正常，无异常快照或异常VG元数据。
• 分区表与对齐：用fdisk/sfdisk/cfdisk确认使用GPT优先、分区对齐合理，降低性能与数据风险。
• 开机挂载安全：核对**/etc/fstab使用UUID或LABEL而非设备名，设置合适的挂载选项**（如：noexec、nosuid、nodev），必要时为敏感分区启用只读或nosuid。
• 加密卷识别：对已加密分卷，确认LUKS/dm-crypt映射存在且口令/密钥文件受控，避免明文暴露。

二 完整性 容量与一致性检查

• 文件系统一致性：对离线文件系统执行fsck（如：fsck /dev/sdXN）；对XFS使用xfs_repair（通常需先卸载）；对ext4使用resize2fs前也建议先检查。执行前务必卸载并检查返回值。
• 容量一致性：当lvs显示LV较大而df显示容量偏小时，多为文件系统未随LV扩容。用xfs_info /mount或df -hT比对；XFS执行xfs_growfs /mount在线扩展，ext4执行resize2fs /dev/vg/lv扩展。
• 内核与硬件日志：用dmesg与**/var/log/messages**排查I/O错误、超时、重映射（remap）与SMART告警，提前发现磁盘/控制器异常。

三 访问控制 加密与备份核查

• 权限与ACL：对挂载点及敏感目录执行ls -ld与getfacl，落实最小权限；必要时用setfacl细化访问控制。
• 传输加密：涉及远程访问或复制时，使用OpenSSH进行传输加密，避免明文通道。
• 数据静态加密：核查LUKS/dm-crypt卷是否启用、密钥/口令保管是否合规，是否采用TMPFS或加密家目录/交换分区策略。
• 备份可用性与恢复演练：核查Déjà Dup/rsync/cron等备份任务是否定期执行、是否异地/离线保存，并定期做恢复演练验证可用性与完整性。

四 监控 告警与加固建议

• 容量与I/O监控：用df、du、iotop、vmstat建立容量阈值与异常I/O告警；对关键目录设置du基线，识别异常增长。
• 日志与审计：集中收集**/var/log/与安全审计日志，关注LVM元数据变更、磁盘错误、挂载异常**等事件。
• 系统加固：启用firewalld/iptables最小化放通；SSH禁用root直登、使用密钥登录；启用SELinux或AppArmor；保持系统与软件及时更新。

五 快速命令清单

• 状态与映射：
  • 查看块设备与挂载：lsblk、blkid、df -hT、mount
  • LVM状态：vgs、lvs、lvdisplay
• 一致性检查：
  • 文件系统检查：fsck /dev/sdXN；xfs_repair /mount（先卸载）；xfs_info /mount；resize2fs /dev/vg/lv
• 容量与扩容：
  • 识别容量不一致：xfs_info /mount 或 df -hT；XFS扩容：xfs_growfs /mount；ext4扩容：resize2fs /dev/vg/lv
• 配置与安全：
  • 挂载选项核对：cat /etc/fstab；权限与ACL：ls -ld /path、getfacl /path、setfacl -m u:user:rwx /path
• 日志与监控：
  • 内核与系统日志：dmesg、tail /var/log/messages；容量与I/O：df、du、iotop、vmstat

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！