作为IT工程师,搭建安全的Linux服务器环境需要系统化的安全配置和持续监控。以下是关键命令和配置建议,分为核心安全模块:
一、基础安全加固 1. 用户权限管理
# 创建低权限用户
sudo adduser deploy --shell=/bin/bash --disabled-password
# 设置sudo权限(visudo安全编辑)
sudo visudo # 添加:deploy ALL=(ALL) NOPASSWD: /usr/bin/apt update
# 检查异常用户
awk -F: '($3 < 1000) {print $1}' /etc/passwd
# 修改默认端口并限制root登录
sudo sed -i 's/#Port 22/Port 58222/g' /etc/ssh/sshd_config
sudo sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
# 启用证书登录
sudo mkdir /home/deploy/.ssh
sudo chmod 700 /home/deploy/.ssh
二、系统防护层 1. 防火墙管理(UFW)
sudo ufw allow 58222/tcp comment 'SSH Custom Port'
sudo ufw enable
sudo ufw status numbered
# 监控敏感目录
sudo apt install auditd
sudo auditctl -w /etc/passwd -p wa -k identity_access
sudo ausearch -k identity_access | aureport -f -i
三、安全审计工具 1. 漏洞扫描
# 使用lynis进行安全审计
sudo lynis audit system --quick
# 检查SUID文件
find / -perm -4000 -type f -exec ls -la {} \; 2>/dev/null
# 查看开放端口及对应进程
sudo netstat -tulnp | grep -v '127.0.0.1'
# 检查异常连接
sudo lsof -i -P -n | grep ESTABLISHED
四、自动化安全维护 1. 自动更新配置
# 配置无人值守更新
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades
#!/bin/bash
LOG_CHECK=$(grep -i "failed" /var/log/auth.log | wc -l)
if [ $LOG_CHECK -gt 10 ]; then
echo "警告:异常登录尝试次数 $LOG_CHECK" | mail -s "安全警报" admin@example.com
fi
五、高级安全配置 1. SELinux基础
# 检查状态
sestatus
# 修改策略
sudo semanage port -a -t ssh_port_t -p tcp 58222
# 防止SYN洪水攻击
echo "net.ipv4.tcp_syncookies = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
关键安全建议:
1. 定期执行 sudo apt update && sudo apt upgrade --only-upgrade security
2. 使用Fail2Ban防止暴力破解:sudo apt install fail2ban
3. 关键配置文件设置只读:sudo chattr +i /etc/passwd /etc/shadow
4. 实施CIS基准测试:https://www.cisecurity.org/benchmark/ubuntu_linux/
注:所有修改前建议备份配置文件,生产环境应先测试。安全是持续过程,建议建立定期审计机制(如每周执行lynis扫描)。