Linux系统加固围绕“最小权限、及时更新、有效监控”三大原则，通过精简服务、强化防火墙与sudo审计、文件完整性校验及禁用危险内核参数等措施实现高效安全管控。

Linux系统加固不是堆砌安全工具，而是围绕“最小权限、及时更新、有效监控”三个核心做减法和管控。以下技巧兼顾实操性和日常效率，避免过度配置拖慢运维节奏。

精简开机服务，关掉不用的监听端口

很多漏洞源于默认开启但实际不用的服务（如telnet、rpcbind、avahi-daemon）。用systemctl list-unit-files --type=service --state=enabled快速查看所有开机自启服务，再结合ss -tuln确认哪些端口真正在监听。

• 停用并禁用无用服务：systemctl stop avahi-daemon && systemctl disable avahi-daemon
• 对不确定的服务，先mask（如systemctl mask rpcbind），避免被其他服务意外拉起
• 防火墙策略优先用ufw简化管理：ufw default deny incoming，再按需ufw allow 22/tcp

限制root权限，强制使用sudo+审计日志

禁止root远程登录、禁用root密码、所有提权操作走sudo——这是最基础也最关键的防线。同时确保命令执行可追溯。

• 编辑/etc/ssh/sshd_config，设PermitRootLogin no，重启sshd
• 运行sudo passwd -l root锁定root密码
• 在/etc/sudoers中启用日志：Defaults logfile="/var/log/sudo.log"，配合sudo tail -f /var/log/sudo.log实时观察提权行为

定期校验关键文件完整性

入侵后常被篡改的是/etc/passwd、/etc/shadow、/bin/ls等系统文件。用轻量工具aide即可完成本地基线比对。

• 安装后初始化数据库：aide --init && cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
• 每周定时检查：0 3 * * 1 /usr/bin/aide --check | mail -s "AIDE Report" admin@local
• 把aide.db.gz备份到离线介质或只读挂载点，防止被攻击者删除或覆盖

关闭危险内核参数，防范常见提权利用

某些内核特性（如user namespaces、BPF JIT）在旧版本中存在稳定提权路径。非必要不开启，尤其在生产服务器上。

• 禁用user namespaces（容器环境除外）：echo 'kernel.unprivileged_userns_clone=0' > /etc/sysctl.d/99-disable-userns.conf
• 关闭BPF JIT编译器：echo 'net.core.bpf_jit_enable=0' >> /etc/sysctl.d/99-disable-bpf-jit.conf
• 加载新配置：sysctl --system，并验证：sysctl kernel.unprivileged_userns_clone

基本上就这些。加固不是一步到位，而是持续做减法、加监控、留痕迹。每次变更前备份配置，每次检查后记录结果，效率自然就上来了。

# linux  # 防火墙  # 端口  # 工具  # ai  # linux系统  # echo  # mail  # 堆  # var  # default  # 数据库  # ssh  # 的是  # 这是  # 离线  # 来了  # 三大  # 重启  # 拉起  # 最关键  # 再按  # 对不 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何正确地在控制器和模型之间分配逻辑_Laravel代码职责分离与架构建议  html5怎么画眼睛_HT5用Canvas或SVG画眼球瞳孔加JS控制动态【绘制】  独立制作一个网站多少钱,建立网站需要花多少钱？  Laravel如何获取当前用户信息_Laravel Auth门面获取用户ID  手机怎么制作网站教程步骤,手机怎么做自己的网页链接？  Laravel如何部署到服务器_线上部署Laravel项目的完整流程与步骤  移动端手机网站制作软件,掌上时代，移动端网站的谷歌SEO该如何做？  javascript基本数据类型及类型检测常用方法小结  如何快速搭建FTP站点实现文件共享？  详解vue.js组件化开发实践  西安市网站制作公司,哪个相亲网站比较好?西安比较好的相亲网站？  如何在云指建站中生成FTP站点？  Laravel如何记录自定义日志？（Log频道配置）  如何快速配置高效服务器建站软件？  如何制作公司的网站链接,公司想做一个网站，一般需要花多少钱？  用yum安装MySQLdb模块的步骤方法  ,怎么在广州志愿者网站注册？  WEB开发之注册页面验证码倒计时代码的实现  Laravel路由怎么定义_Laravel核心路由系统完全入门指南  Laravel Admin后台管理框架推荐_Laravel快速开发后台工具  微信小程序 require机制详解及实例代码  活动邀请函制作网站有哪些,活动邀请函文案？  ,在苏州找工作，上哪个网站比较好？  黑客如何通过漏洞一步步攻陷网站服务器？  微信小程序 scroll-view组件实现列表页实例代码  电商网站制作价格怎么算,网上拍卖流程以及规则？  如何在自有机房高效搭建专业网站？  Laravel如何为API生成Swagger或OpenAPI文档  韩国网站服务器搭建指南：VPS选购、域名解析与DNS配置推荐  大连网站制作公司哪家好一点,大连买房网站哪个好？  如何注册花生壳免费域名并搭建个人网站？  Win11搜索栏无法输入_解决Win11开始菜单搜索没反应问题【技巧】  高性价比服务器租赁——企业级配置与24小时运维服务  Win11怎么关闭专注助手 Win11关闭免打扰模式设置【操作】  香港网站服务器数量如何影响SEO优化效果？  Laravel怎么使用Intervention Image库处理图片上传和缩放  微信小程序 HTTPS报错整理常见问题及解决方案  php8.4header发送头信息失败怎么办_php8.4header函数问题解决【解答】  Laravel如何实现RSS订阅源功能_Laravel动态生成网站XML格式订阅内容【教程】  如何用手机制作网站和网页,手机移动端的网站能制作成中英双语的吗？  Laravel API资源类怎么用_Laravel API Resource数据转换  Win11怎么开启自动HDR画质_Windows11显示设置HDR选项  Swift中swift中的switch 语句  iOS正则表达式验证手机号、邮箱、身份证号等  javascript中的数组方法有哪些_如何利用数组方法简化数据处理  个人网站制作流程图片大全,个人网站如何注销？  如何用腾讯建站主机快速创建免费网站？  如何在沈阳梯子盘古建站优化SEO排名与功能模块？  使用PHP下载CSS文件中的所有图片【几行代码即可实现】  香港服务器选型指南：免备案配置与高效建站方案解析