Linux系统安全性加固与漏洞修复指南

一、基础安全加固

1. 系统更新与补丁管理

# 更新软件包列表
sudo apt update         # Debian/Ubuntu
sudo yum check-update   # RHEL/CentOS

# 升级所有已安装软件包
sudo apt upgrade -y     # Debian/Ubuntu
sudo yum update -y      # RHEL/CentOS

# 自动安全更新配置(Debian/Ubuntu)
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

2. 最小化安装与服务管理

# 查看所有运行中的服务
sudo systemctl list-units --type=service --state=running

# 禁用不必要的服务
sudo systemctl disable <service_name>
sudo systemctl stop <service_name>

# 移除不需要的软件包
sudo apt autoremove --purge <package_name>   # Debian/Ubuntu
sudo yum remove <package_name>               # RHEL/CentOS

二、账户与认证安全

1. 密码策略设置

# 编辑密码策略配置文件
sudo nano /etc/login.defs
# 修改以下参数：
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_WARN_AGE 14

# 安装并配置PAM密码复杂度模块
sudo apt install libpam-pwquality   # Debian/Ubuntu
sudo yum install pam_pwquality      # RHEL/CentOS

# 编辑PAM配置
sudo nano /etc/security/pwquality.conf
# 设置最小长度和复杂度要求
minlen = 12
minclass = 3

2. SSH安全配置

# 编辑SSH配置文件
sudo nano /etc/ssh/sshd_config

# 推荐修改以下参数：
Port 2222                           # 修改默认端口
PermitRootLogin no                  # 禁止root直接登录
PasswordAuthentication no           # 禁用密码认证，使用密钥
MaxAuthTries 3                      # 最大尝试次数
ClientAliveInterval 300             # 客户端活动间隔
ClientAliveCountMax 0               # 客户端活动计数
AllowUsers user1 user2              # 只允许特定用户登录

# 重启SSH服务
sudo systemctl restart sshd

三、网络与防火墙配置

1. 防火墙配置

# UFW防火墙(Ubuntu/Debian)
sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp   # 允许SSH自定义端口

# firewalld(RHEL/CentOS)
sudo systemctl enable firewalld
sudo systemctl start firewalld
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

2. 网络加固

# 禁用IP转发(除非是路由器)
sudo sysctl -w net.ipv4.ip_forward=0

# 禁用ICMP重定向
sudo sysctl -w net.ipv4.conf.all.accept_redirects=0
sudo sysctl -w net.ipv6.conf.all.accept_redirects=0

# 使配置永久生效
sudo nano /etc/sysctl.conf
# 添加或修改相应参数

四、文件系统与权限

1. 关键文件权限设置

# 设置关键目录权限
sudo chmod 700 /root
sudo chmod 600 /etc/shadow
sudo chmod 644 /etc/passwd
sudo chmod 640 /etc/group

# 查找SUID/SGID文件
sudo find / -perm /4000 -type f -exec ls -la {} \; 2>/dev/null
sudo find / -perm /2000 -type f -exec ls -la {} \; 2>/dev/null

2. 文件完整性检查

# 安装AIDE(高级入侵检测环境)
sudo apt install aide   # Debian/Ubuntu
sudo yum install aide   # RHEL/CentOS

# 初始化数据库
sudo aideinit

# 手动检查
sudo aide --check

五、漏洞扫描与修复

1. 自动化漏洞扫描工具

# 安装Lynis安全审计工具
sudo apt install lynis   # Debian/Ubuntu
sudo yum install lynis   # RHEL/CentOS

# 运行系统审计
sudo lynis audit system

# 安装OpenVAS或Greenbone Vulnerability Management进行深度扫描

2. CVE漏洞修复

# 查询特定软件包的CVE漏洞
apt list --upgradable   # Debian/Ubuntu
yum list updates        # RHEL/CentOS

# 使用cve-search工具查询漏洞
git clone https://github.com/cve-search/cve-search.git
cd cve-search
pip3 install -r requirements.txt

六、日志与监控

1. 日志配置

# 配置rsyslog集中式日志
sudo nano /etc/rsyslog.conf
# 启用网络日志传输(可选)

# 安装并配置logwatch
sudo apt install logwatch   # Debian/Ubuntu
sudo yum install logwatch   # RHEL/CentOS
sudo nano /etc/logwatch/conf/logwatch.conf

2. 入侵检测系统

# 安装OSSEC HIDS
sudo apt install ossec-hids   # Debian/Ubuntu
sudo yum install ossec-hids   # RHEL/CentOS

# 基本配置
sudo /var/ossec/bin/manage_agents

七、定期维护任务

1. 设置自动安全审计：每月运行一次Lynis审计
2. 定期检查用户账户：sudo less /etc/passwd
3. 监控异常进程：top, htop 或 ps auxf
4. 检查异常网络连接：netstat -tulnp 或 ss -tulnp
5. 更新病毒扫描：定期运行clamav扫描

通过以上步骤，您可以显著提高Linux系统的安全性。请记住，安全是一个持续的过程，需要定期审查和更新安全措施。