保持服务器安全的10个必备Linux命令

作为IT工程师，确保Linux服务器安全是核心任务。以下是10个必备命令及其安全应用场景，附带详细解释：

1. 用户权限审计

sudo -l

• 查看当前用户可执行的sudo命令
• 安全建议：定期审计/etc/sudoers文件，遵循最小权限原则

2. 登录监控

last -i

• 显示登录历史（含IP地址）
• 配合使用：grep 'Failed' /var/log/auth.log 检查失败登录

3. 网络防护

ss -tulnp | grep -E '0.0.0.0|::'

• 比netstat更高效，显示所有监听端口
• 关键操作：sudo ufw enable 启用防火墙

4. 进程检查

ps auxf | grep -v '\['

• 显示所有用户进程（排除内核线程）
• 可疑进程检测：lsof -p <PID>

5. 文件完整性校验

sudo find / -type f -perm /6000 -ls

• 查找SUID/SGID文件（提权风险）
• 高级用法：aide --check 进行完整性验证

6. SSH安全加固

sudo grep -E '^PermitRootLogin|^PasswordAuthentication' /etc/ssh/sshd_config

• 必须配置： PermitRootLogin no PasswordAuthentication no

7. 日志分析

sudo journalctl -u sshd --since "1 hour ago" | grep 'Failed'

• 实时监控：tail -f /var/log/secure

8. 内核安全参数

sysctl -a | grep kernel.yama.ptrace_scope

• 推荐配置： kernel.yama.ptrace_scope = 2

9. 自动化漏洞扫描

sudo lynis audit system

• 专业工具：sudo apt install lynis
• 生成报告路径：/var/log/lynis.log

10. 应急响应

sudo rkhunter --check --sk

• 后门检测工具安装： bash sudo apt install rkhunter chkrootkit

进阶安全实践： 1. 定期执行安全更新：

sudo apt update && sudo apt upgrade --only-upgrade security

2. 配置自动告警（示例）：

grep 'invalid user' /var/log/auth.log | mail -s "SSH Alert" admin@example.com

3. 关键目录监控：

sudo auditctl -w /etc/passwd -p wa -k passwd_change

注意：所有审计命令建议通过script命令记录操作日志：

script -a security_audit_$(date +%F).log

这些命令组合使用可构建基础安全防线，但需配合定期漏洞扫描、入侵检测系统（如OSSEC）和备份策略形成完整防护体系。