-
Linux系统安全 一、概述 Linux 系统安全至关重要,涉及物理安全、用户安全、权限管理、网络安全、日志管理、文件系统安全、服务安全、恶意软件防护、备份恢复等多个方面。确保 Linux 系统的安全,能够有效保护系统中的数据和资源,防止未经授权的访问、恶意数据泄露 二、用户和权限管理 (一)用户管理 1、用户创建 使用useradd命令创建新用户,格式为useradd [选项] 用户名。例如,useradd -d /home/newuser -m newuser,其中-d指定用户家目录,-m表示若家目录不存在则创建。用户创建后,默认家目录通常在/home/用户名,默认所属用户组与用户名相同 2、密码管理 通过passwd 用户名为用户设置密码。密码应满足复杂度要求,至少包含大小写字母、数字和特殊字符,长度不小于 8 位。同时,应定期更换密码,可通过chage -M 90 用户名设置密码有效期为 90 天,到期强制用户修改密码。 3、用户组管理 groupadd 组名创建用户组,usermod -aG 组名 用户名将用户添加到指定组。合理的用户组划分有助于更好地管理用户权限 (二)权限管理 1、基本权限 文件和目录有读(r)、写(w)、执行(x)三种权限,分别对应所有者、所属组和其他用户。使用chmod命令修改权限,有数字法和符号法两种方式。数字法中,r=4,w=2,x=1,例如chmod 755 文件名表示所有者有读、写、执行权限,所属组和其他用户有读、执行权限。符号法如chmod u+x 文件名表示给所有者添加执行权限 2、特殊权限 SUID(Set UID):设置在可执行文件上,用户执行该文件时,临时拥有文件所有者的权限,用chmod u+s 文件名设置,chmod u-s 文件名取消 SGID(Set GID):作用于文件时,用户执行文件临时获得文件所属组权限;作用于目录时,目录下创建的文件自动继承目录所属组,设置和取消命令为chmod g+s 目录名、chmod g-s 目录名 SBIT(Sticky Bit):仅用于目录,防止非所有者删除或重命名目录下的文件,chmod o+t 目录名设置,chmod o-t 目录名取消 三、网络安全 (一)防火墙配置 1、iptables 是 Linux 系统的重要防火墙工具,通过规则链(INPUT、OUTPUT、FORWARD)控制网络流量 规则结构:包含匹配条件(如协议、源 IP、目标端口等)和处理动作(ACCEPT、DROP、REJECT 等) 2、常用规则 允许指定 IP 访问:iptables -A INPUT -s 192.168.1.100 -j ACCEPT 允许 80 和 443 端口访问:iptables -A INPUT -p tcp --dport 80 -j ACCEPT,iptables -A INPUT -p tcp --dport 443 -j ACCEPT 拒绝所有其他入站连接:iptables -P INPUT DROP 保存规则:service iptables save(不同发行版可能略有差异) 3、firewalld 基于 D-Bus 的防火墙管理工具,支持动态更新规则 启用服务:firewall-cmd --add-service=http --permanent(永久启用 HTTP 服务),firewall-cmd --reload重新加载配置 开放端口:firewall-cmd --add-port=8080/tcp --permanent (二)端口管理 使用netstat -tunlp查看当前开放的端口及对应的进程,lsof -i :端口号查看指定端口的占用情况。对于不必要的端口,应通过防火墙关闭或停止对应的服务 (三)远程访问安全 1、SSH 服务 默认端口为 22,修改默认端口可在/etc/ssh/sshd_config中找到Port 22,修改为其他端口如Port 2222,然后重启 sshd 服务systemctl restart sshd。禁用 root 直接登录,将PermitRootLogin yes改为PermitRootLogin no。使用密钥认证代替密码认证,生成密钥对ssh-keygen,将公钥添加到~/.ssh/authorized_keys文件中,同时设置文件权限为 600 四、日志管理 (一)重要日志文件 1、/var/log/secure 记录安全相关事件,如登录尝试(成功和失败)、权限变化等 2、/var/log/auth.log(部分发行版) 同样记录认证信息,包括用户登录、注销、权限提升等 3、/var/log/syslog 系统日志,包含系统服务的启动、停止、错误信息等 4、/var/log/kern.log 内核日志,记录内核相关的事件和错误 (二)日志查看与分析 使用cat、tail、grep等命令查看日志,例如tail -f /var/log/secure实时监控安全日志。通过grep "Failed login" /var/log/secure查找失败的登录尝试 (三)日志轮转 为避免日志文件过大,通过logrotate进行日志轮转。配置文件位于/etc/logrotate.conf和/etc/logrotate.d/目录下,可设置日志保留天数、压缩方式等,如/var/log/secure { weekly rotate 4 compress missingok notifempty }表示每周轮转一次,保留 4 周的日志并压缩 五、文件系统安全 (一)文件系统选择 推荐使用 ext4、xfs 等成熟的文件系统,它们具有较好的稳定性和安全性 (二)挂载选项 在挂载文件系统时,使用安全选项,如noexec(禁止执行可执行文件)、nosuid(禁止设置 SUID 和 SGID 位)、nodev(禁止访问设备文件)。例如,mount -o noexec,nosuid,nodev /dev/sdb1 /mnt/data (三)重要文件保护 /etc/passwd:存储用户基本信息,权限应设置为 644,确保只有 root 用户可写 /etc/shadow:存储用户密码哈希值,权限必须为 600,防止其他用户读取 /etc/group和/etc/gshadow:分别存储用户组基本信息和密码,权限类似passwd和shadow 六、服务安全 (一)服务管理 使用systemctl list-units --type=service查看所有服务状态,systemctl disable 服务名关闭不必要的服务,systemctl enable 服务名启用必要服务 (二)常用服务安全配置 1、Apache 修改默认端口、禁用不必要的模块(如mod_info、mod_status在非必要时关闭)、设置访问控制,在配置文件中添加Order Deny,Allow Deny from all Allow from 192.168.1.0/24允许特定网段访问 2、MySQL 设置 root 用户密码,禁止远程 root 登录,删除匿名用户,使用mysql_secure_installation进行安全初始化 七、恶意软件防护 (一)杀毒软件 安装 ClamAV,更新库freshclam,扫描文件或目录clamscan -r /home (二)文件完整性检查 使用tripwire工具,对系统文件进行哈希值计算并定期检查,发现文件被篡改时及时报警 (三)警惕可疑进程 通过ps -aux查看进程,发现异常进程(如 CPU 或内存占用过高、名称异常),使用kill -9 进程号终止,并检查是否为恶意程序 八、备份和恢复 (一)备份工具 1、tar: 用于打包和压缩文件,tar -czvf 备份文件名.tar.gz 源目录进行压缩备份,tar -xzvf 备份文件名.tar.gz -C 目标目录恢复 2、rsync: 支持增量备份,提高备份效率,rsync -avzh --delete 源目录 目标目录 (二)备份策略 制定合理的备份计划,重要数据每天进行增量备份,每周进行全量备份,备份数据存储在异地或不同介质上,确保数据的可用性和完整性 九、安全加固 (一)系统更新 定期执行yum update(RedHat 系列)或apt-get update && apt-get upgrade(Debian 系列)更新系统补丁,修复已知安全 (二)安全配置模板 参考行业标准的安全配置模板(如 CIS Benchmarks),对 Linux 系统进行配置优化,包括用户权限、服务设置、网络策略等方面 (三)定期安全审计 定期对系统进行安全审计,检查用户权限、日志记录、服务状态等,及时发现潜在的安全隐患并进行修复 安全的主要方面。你可以说说是否需要对某个部分展开详细说明,或补充其他安全相关内容。