Linux Dopra:如何进行安全加固
导读:Linux 主机安全加固实操清单 一 基线说明与原则 将“Linux Dopra”理解为在 Linux(如 CentOS/RHEL) 上的主机安全加固。加固遵循:最小化暴露面、最小权限、纵深防御、可审计与可回滚。 生产变更前务必:备份配置...
Linux 主机安全加固实操清单
一 基线说明与原则
- 将“Linux Dopra”理解为在 Linux(如 CentOS/RHEL) 上的主机安全加固。加固遵循:最小化暴露面、最小权限、纵深防御、可审计与可回滚。
- 生产变更前务必:备份配置与数据、在测试环境验证、准备回滚方案、在维护窗口执行并最小化停机时间。
二 身份与访问控制
- 账号清理与锁定:删除或锁定与业务无关账号;将不再使用的服务账号 Shell 设为 /sbin/nologin;排查并清理 UID=0 的异常账户(除 root 外)。示例:
passwd -l username、usermod -s /sbin/nologin username、awk -F: '($3 == 0) { print $1} ' /etc/passwd。 - 精细化 sudo:仅授予必要命令的提权,优先采用命令白名单;使用
visudo编辑,避免直接修改/etc/sudoers。示例:username ALL=(ALL) /usr/bin/systemctl restart nginx, /usr/bin/dnf update。 - 强化 su 控制:在
/etc/pam.d/su中仅允许 wheel 组切换 root,示例:auth required pam_wheel.so group=wheel。 - 口令策略:在
/etc/security/pwquality.conf设置minlen=8、minclass=3、retry=3、dcredit=-1、ucredit=-1、lcredit=-1、ocredit=-1;在/etc/login.defs设置PASS_MAX_DAYS=90、PASS_MIN_LEN=8;在 PAM 启用历史口令防复用(如remember=5);配置失败锁定(如deny=5 unlock_time=600)。 - 关键文件权限:确保
/etc/passwd为 644、/etc/shadow为 600、/etc/group为 644;必要时用chattr +i保护关键文件(变更前评估影响)。
三 系统与网络防护
- 补丁与最小化:定期安装安全更新;RHEL/CentOS 8+ 使用
dnf update --security与dnf-automatic自动安全更新;仅保留必需服务,禁用/屏蔽无用服务(如cups、bluetooth、vncserver)。 - 防火墙与端口:使用 firewalld/iptables 实施默认拒绝,按需仅放行业务端口(如 22/80/443 或自定义 SSH 端口);变更前验证 ACL 与业务连通性。
- SSH 加固:备份并编辑
/etc/ssh/sshd_config,建议:Port 2222(示例)、PermitRootLogin no、PasswordAuthentication no、PubkeyAuthentication yes、AllowUsers your_username@your_cidr、ClientAliveInterval 300、ClientAliveCountMax 3;重启sshd生效。 - 暴力破解防护:部署 fail2ban,为 SSH 设置
maxretry=3、bantime=3600、findtime=600,端口与sshd_config保持一致。 - 资源与 DoS 缓解:通过
ulimit -n 4096等限制用户态资源;内核/网络层启用 syncookie、按需丢弃 ICMP 请求、禁止无源路由、优化 SYN Flood 防护;限制 FTP 匿名与上传权限、设置安全 banner。
四 日志、监控与备份
- 集中与保护日志:集中采集
/var/log/secure、/var/log/messages等关键日志;设置日志文件权限不超过 640;定期审计登录失败与提权行为(如lastb、last、grep sudo /var/log/secure)。 - 入侵检测与合规扫描:定期使用 Nmap/OpenVAS 扫描开放端口与漏洞;结合基线核查脚本与配置审计工具形成闭环。
- 备份与演练:对系统、配置与业务数据执行定期备份(含离线/异地副本),并进行恢复演练与校验,确保 RPO/RTO 达标。
五 可选加固与验证
- SELinux:保持 Enforcing 模式,使用
semanage/setsebool做最小权限调整;仅在明确影响业务且无法以 SELinux 解决时再考虑宽容模式或临时禁用。 - 物理与启动安全:BIOS 设置强密码并禁用 USB/CD 启动;必要时通过内核模块禁用 USB 存储(如
install usb-storage /bin/true);限制机房物理访问。 - 内核与网络参数:按需开启 syncookie、不响应 ICMP 请求、禁止处理无源路由、优化 SYN Flood 参数;对外服务最小化暴露,分区分域与 ACL 协同。
- 验证与回归:每次变更后进行连通性与安全项回归测试(端口、登录、权限、日志、更新、fail2ban 触发与解封);保留变更单与回滚方案。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Linux Dopra:如何进行安全加固
本文地址: https://pptw.com/jishu/773037.html