以下是一份详细的Linux服务器安全检查清单,涵盖关键安全配置和最佳实践,帮助您加固服务器防御:
系统更新
# CentOS/RHEL
sudo yum update -y && sudo yum upgrade -y
# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
sudo apt install unattended-upgrades sudo dpkg-reconfigure unattended-upgrades ```
内核更新后重启检查
bash
uname -rbash
sudo needs-restarting -r # RHEL/CentOS密码策略
/etc/login.defs:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_WARN_AGE 14libpam-pwquality强化密码复杂度:
bash
sudo apt install libpam-pwquality # Debian/Ubuntu
编辑 /etc/security/pwquality.conf。禁用root SSH登录
sudo sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
sudo systemctl restart sshd
SSH密钥认证
PasswordAuthentication no
PubkeyAuthentication yesAllowUsers your_username关闭不必要的服务
sudo systemctl list-unit-files --state=enabled
sudo systemctl disable <unused_service>
防火墙配置(UFW示例)
sudo ufw enable
sudo ufw allow 22/tcp # 仅允许SSH
sudo ufw deny from 192.168.1.100 # 封禁可疑IP
检查开放端口
sudo ss -tulnp
sudo netstat -tuln # 旧版系统
关键目录权限
sudo chmod 700 /etc/cron* /etc/ssh/ssh_host_*_key
sudo chown root:root /etc/passwd /etc/shadow
sudo chmod 644 /etc/passwd
sudo chmod 600 /etc/shadow
查找SUID/SGID文件
find / -perm /4000 -o -perm /2000 -type f -exec ls -ld {} \; 2>/dev/null
监控敏感文件变更
sudo apt install aide # 入侵检测工具
sudo aideinit
集中化日志(可选)
rsyslog转发到日志服务器。关键日志检查
sudo tail -100 /var/log/auth.log # SSH登录记录
sudo journalctl -u sshd --no-pager -n 50
安装入侵检测工具
sudo apt install fail2ban # 防暴力破解
SELinux/AppArmor
bash
sudo setenforce 1
sudo getenforce内核参数加固
编辑 /etc/sysctl.conf:
net.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=1
kernel.exec-shield=1
生效配置:
sudo sysctl -p
安全扫描
sudo apt install lynis # 安全审计工具
sudo lynis audit system
备份验证
/etc、数据库)可恢复。可疑进程检查
ps auxf | grep -i "crypto\|miner"
top -c -o %CPU
网络连接分析
sudo lsof -i -n -P
sudo netstat -antp | grep ESTABLISHED
最后建议:
- 使用CIS Benchmark进行合规性检查。
- 对暴露在公网的服务实施Web应用防火墙(WAF)。
- 考虑多因素认证(MFA)提升SSH安全性。
通过以上步骤,您的Linux服务器将显著提升对抗常见攻击的能力。根据实际需求调整配置,并定期复查安全策略。