服务器linux操作系统安全加固

一、系统更新与补丁管理

更新系统sudo yum update -y        # 更新所有软件包
sudo yum install epel-release -y  # 安装EPEL扩展源启用自动安全更新sudo yum install yum-cron -y
sudo systemctl enable yum-cron
sudo systemctl start yum-cron配置 /etc/yum/yum-cron.conf，设置 update_cmd = security 和 apply_updates = yes。

二、账户与权限安全

禁用root远程登录
编辑 /etc/ssh/sshd_config：PermitRootLogin no创建普通用户并赋予sudo权限
bash
复制useradd admin
passwd admin
usermod -aG wheel admin  # 加入sudo组限制sudo权限编辑 /etc/sudoers，限制用户仅能执行必要命令：admin ALL=(ALL) /usr/bin/systemctl restart nginx, /usr/sbin/reboot密码策略强化修改 /etc/login.defs：PASS_MAX_DAYS   90PASS_MIN_DAYS   1PASS_MIN_LEN    12PASS_WARN_AGE   7安装密码复杂度检查模块：sudo yum install cracklibsudo vi /etc/pam.d/system-auth  # 添加 `minlen=12 difok=3 ucredit=-1 lcredit=-1 dcredit=-1`

三、SSH 安全加固

修改SSH默认端口
编辑 /etc/ssh/sshd_config：Port 2222  # 改为非标准端口（如2222）仅允许密钥登录PasswordAuthentication no
PubkeyAuthentication yes限制SSH访问IPAllowUsers admin@192.168.1.0/24  # 仅允许特定IP段的用户登录重启SSH服务sudo systemctl restart sshd

四、防火墙与网络防护

启用firewalldsudo systemctl enable firewalld
sudo systemctl start firewalld配置防火墙规则sudo firewall-cmd --permanent --add-port=2222/tcp    # 放行SSH端口
sudo firewall-cmd --permanent --remove-service=ssh   # 删除默认SSH端口
sudo firewall-cmd --reload禁用ICMP重定向
编辑 /etc/sysctl.conf：net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0sudo sysctl -p  # 生效配置

五、SELinux 强化

启用SELinux
编辑 /etc/selinux/config：SELINUX=enforcing
SELINUXTYPE=targetedsudo setenforce 1  # 临时生效管理SELinux策略sudo yum install setroubleshoot setools -y  # 安装管理工具
sudo audit2allow -a -M mypolicy  # 根据日志生成自定义策略

六、服务与进程管理

关闭无用服务sudo systemctl stop bluetooth cups avahi-daemon
sudo systemctl disable bluetooth cups avahi-daemon使用最小化安装sudo yum install @minimal  # 仅安装必需软件包监控进程与端口sudo netstat -tulnp | grep LISTEN  # 检查开放端口
sudo ps aux | grep可疑进程名

七、文件系统与权限加固

关键文件权限设置sudo chmod 600 /etc/passwd /etc/shadow  # 仅root可读写
sudo chattr +i /etc/passwd /etc/shadow  # 防止文件被修改禁用SUID/SGIDfind / -perm /4000 -exec ls -l {} \;  # 查找SUID文件
find / -perm /2000 -exec ls -l {} \;  # 查找SGID文件
# 移除不必要的SUID/SGID权限（如chmod u-s /path/to/file）挂载选项加固
编辑 /etc/fstab，为分区添加 noexec,nosuid 选项：/dev/sda1 /boot xfs defaults,noexec,nosuid 0 0

八、日志与审计

启用审计服务sudo systemctl enable auditd
sudo systemctl start auditd配置审计规则
编辑 /etc/audit/rules.d/audit.rules，添加以下规则：-a always,exit -F arch=b64 -S execve -k process_trace  # 跟踪进程执行
-w /etc/passwd -p wa -k user_accounts  # 监控用户账户变更日志轮转与备份配置 /etc/logrotate.conf，确保日志定期压缩和清理。

九、入侵检测与防护

安装Fail2ban防暴力破解sudo yum install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local编辑 /etc/fail2ban/jail.local，设置SSH防护：[sshd]enabled = trueport = 2222  # 与SSH端口一致maxretry = 3使用Rootkit检测工具sudo yum install rkhunter
sudo rkhunter --check --sk

十、其他高级防护

内核参数调优
编辑 /etc/sysctl.conf，添加以下内容：net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
kernel.kptr_restrict = 1
kernel.dmesg_restrict = 1配置历史命令安全echo 'export HISTTIMEFORMAT="%F %T "' >> ~/.bashrc  # 记录时间戳
echo 'export HISTSIZE=10000' >> ~/.bashrc           # 保留更多历史记录
echo 'export HISTCONTROL=ignoreboth' >> ~/.bashrc  # 忽略重复命令和空格开头的命令

十一、验证与监控

安全扫描工具使用 Lynis 进行系统审计：sudo yum install lynissudo lynis audit system使用 OpenSCAP 扫描合规性：sudo yum install openscap-scanner scap-security-guidesudo oscap xccdf eval --profile stig-rhel7-disa --results scan.xml /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml定期备份与恢复测试sudo tar -czvf /backup/system_backup_$(date +%F).tar.gz /etc /var/log

注意事项

测试环境验证：所有配置先在测试环境验证，避免影响生产服务。备份配置文件：修改关键文件前备份（如 cp /etc/ssh/sshd_config{,.bak}）。监控与告警：部署监控工具（如Prometheus + Grafana）实时跟踪系统状态。