本文共 1616 字，大约阅读时间需要 5 分钟。

前言

Linux 系统默认具备强大的安全机制，但要实现更高层次的安全性，仍需通过配置和管理来加固系统防护。本文将分享 25 个实用技巧，帮助您构建更加安全的 Linux 系统。

1. 物理系统安全性

配置 BIOS 禁用 CD/DVD、外部设备和软驱启动，同时启用 BIOS 密码和 GRUB 密码保护，以限制物理访问。

2. 磁盘分区

通过划分多个分区，保护数据安全。每个分区承担不同的功能，如 /opt 用于安装第三方软件，以减少意外数据丢失风险。

3. 最小化包安装

移除不必要的服务和软件包。使用 chkconfig 列出运行级别 3 的服务，停止不必要的运行。通过 YUM 或 apt-get 卸载无用软件。

4. 检查网络监听端口

使用 netstat 命令查看开启的端口，关闭不必要的网络服务。通过 chkconfig 管理网络服务。

5. 使用 SSH

避免使用 Telnet 和 rlogin，改用 SSH 协议进行加密通信。禁用 root 登录，使用 sudo 代替。配置 SSH 端口和访问控制，确保系统安全性。

6. 保持系统更新

定期应用最新补丁和安全修复，确保系统运行时的内核和软件无漏洞。

7. 锁定 Cron 任务

通过 cron.allow 和 cron.deny 文件控制任务执行权限，禁止未经授权的用户运行 Cron 任务。

8. 禁止 USB 探测

编辑 /etc/modprobe.d/no-usb 文件，禁用 USB 存储设备探测，保护系统免受恶意软件侵害。

9. 启用 SELinux

SELinux 提供强制访问控制，建议在网络环境中启用以增强系统安全性。可选择强制执行、许可模式或关闭模式。

10. 移除 KDE 或 GNOME 桌面

在 LAMP 服务器中移除 X 界面，减少潜在攻击面。通过修改 /etc/inittab 文件关闭桌面。

11. 关闭 IPv6

若不需要 IPv6 协议，禁用其相关配置，避免潜在的安全隐患。

12. 限制旧密码使用

通过 PAM 模块设置密码策略，禁止用户使用前 5 个旧密码，提升安全性。

13. 检查密码过期

使用 chage 命令查看用户密码是否过期，及时处理密码管理。

14. 手动锁定或解锁用户

通过 passwd -lock 和 passwd -unlock 命令，管理用户账号状态，保障系统安全。

15. 增强密码复杂度

配置 pam_cracklib 模块，强制用户设置复杂密码，减少暴力攻击风险。

16. 启用 IPTABLE 防火墙

配置防火墙规则，控制网络流量，保护系统免受恶意攻击。

17. 禁止 Ctrl+Alt+Delete

注释掉 /etc/inittab 中的相关配置，防止误重启。

18. 检查空密码账户

使用 passwd -e 命令查找空密码账户，及时修复安全漏洞。

19. SSH 登录提示

在 SSH 会话开始时显示警示信息，提醒用户操作。

20. 监视用户行为

使用 psacct 和 acct 工具监控用户活动，分析资源使用情况。

21. 定期查看日志

将日志文件移动至远程服务器，避免日志被篡改。常见日志文件包括 /var/log/syslog 和 /var/log/auth.log。

22. 备份重要文件

定期备份 /etc、/bin、/sbin 等关键文件，确保系统自救。

23. NIC 绑定

通过 NIC 绑定模式，建立冗余网络接口，保障网络连续性。

24. 保持 /boot 只读

编辑 /etc/fstab，设置 /boot 分区为只读，防止恶意修改。

25. 忽略 ICMP 和 Broadcast 请求

在 /etc/sysctl.conf 中添加相关配置，屏蔽 ICMP 和 Broadcast 请求。

通过以上方法，可以显著提升 Linux 系统的安全性，防范多种潜在威胁。

转载地址：http://crzfk.baihongyu.com/