Linux服务器等保测评实战：从SSH配置到密码策略的完整避坑指南

Linux服务器等保测评实战：从SSH配置到密码策略的完整避坑指南

在数字化时代，数据安全已成为企业生存发展的生命线。作为承载关键业务系统的Linux服务器，其安全性直接关系到企业的核心资产。等保测评（信息安全等级保护测评）作为我国信息安全领域的重要标准，为Linux服务器的安全配置提供了明确指引。本文将从一个资深运维工程师的角度，分享如何在实际工作中落实等保要求，避开那些容易踩的"坑"。

1. SSH安全加固：远程管理的防护盾

SSH是Linux服务器远程管理的标配工具，但默认配置往往存在诸多安全隐患。让我们从实战角度出发，打造一个坚不可摧的SSH防护体系。

1.1 基础配置优化

首先检查/etc/ssh/sshd_config文件，以下关键参数需要特别注意：

# 禁止root直接登录 PermitRootLogin no # 限制协议版本为SSHv2 Protocol 2 # 修改默认端口（建议改为1024-65535之间的端口） Port 23456 # 限制登录尝试次数 MaxAuthTries 3 # 设置会话超时 ClientAliveInterval 300 ClientAliveCountMax 0

提示：修改SSH端口后，务必检查防火墙规则，确保新端口已开放，否则可能导致无法连接。

1.2 高级防护策略

除了基础配置，我们还可以采取以下措施：

• 密钥认证替代密码：生成SSH密钥对，彻底禁用密码登录

ssh-keygen -t ed25519 ssh-copy-id user@server

• IP访问限制：通过/etc/hosts.allow和/etc/hosts.deny控制访问源

# /etc/hosts.allow sshd: 192.168.1.0/24, 10.0.0.5 # /etc/hosts.deny sshd: ALL

• Fail2Ban防护：自动封禁暴力破解IP

# 安装fail2ban sudo apt install fail2ban # Debian/Ubuntu sudo yum install fail2ban # CentOS/RHEL

2. 密码策略：构建第一道防线

弱密码是安全漏洞的主要来源之一。等保测评对密码复杂度、有效期等有明确要求，我们需要通过系统配置严格落实。

2.1 密码复杂度设置

修改/etc/security/pwquality.conf文件（部分系统为/etc/pam.d/system-auth）：

# 密码最小长度 minlen = 12 # 要求包含四类字符中的三类（大写、小写、数字、特殊字符） minclass = 3 # 拒绝包含用户名的密码 usercheck = 1 # 密码历史记录（防止重复使用） remember = 5

2.2 密码有效期管理

在/etc/login.defs中配置：

# 密码最大有效期（天） PASS_MAX_DAYS 90 # 密码最小有效期（防止频繁修改） PASS_MIN_DAYS 7 # 密码过期前警告天数 PASS_WARN_AGE 14

对于已存在用户，使用chage命令修改设置：

chage -M 90 -m 7 -W 14 username

3. 账户与权限管理：最小权限原则落地

等保测评强调"最小权限"原则，我们需要通过精细化的账户管理来实现这一目标。

3.1 账户安全基线

3.2 sudo权限精细控制

避免直接使用root账户，而是通过sudo授权特定命令：

# /etc/sudoers示例配置 User_Alias ADMINS = user1, user2 Cmnd_Alias NETWORKING = /sbin/ifconfig, /sbin/route, /sbin/iptables ADMINS ALL=(ALL) NETWORKING %developers ALL=(ALL) /usr/bin/git, /usr/bin/docker

注意：永远不要直接编辑/etc/sudoers文件，应使用visudo命令，它有语法检查功能。

4. 安全审计：留下完整的操作痕迹

等保测评要求对重要操作进行审计，Linux系统提供了强大的审计工具。

4.1 auditd审计系统配置

启用并配置auditd服务：

# 安装auditd sudo apt install auditd # Debian/Ubuntu sudo yum install audit # CentOS/RHEL # 常用审计规则示例 auditctl -a always,exit -F arch=b64 -S execve # 记录所有命令执行 auditctl -w /etc/passwd -p wa -k passwd_change # 监控passwd文件修改 auditctl -w /var/www/html -p wa -k web_content # 监控网站目录

4.2 关键审计规则示例

查看审计日志：

ausearch -k etc_changes # 按关键字查询 aureport -m -i # 生成可读性报告

5. 入侵防范：主动防御策略

等保测评要求系统具备基本的入侵防范能力，我们需要从多个层面构建防御体系。

5.1 系统服务与端口管理

首先清理不必要的服务：

# 查看所有运行中的服务 systemctl list-units --type=service --state=running # 禁用高风险服务示例 sudo systemctl disable telnet.socket sudo systemctl disable rlogin.socket

端口管理建议：

# 查看监听端口 ss -tulnp # 使用firewalld管理端口 sudo firewall-cmd --permanent --remove-service=dhcpv6-client sudo firewall-cmd --permanent --add-port=23456/tcp sudo firewall-cmd --reload

5.2 自动化漏洞扫描

定期进行漏洞扫描是等保的基本要求：

# 使用OpenSCAP进行合规扫描 sudo yum install openscap-scanner scap-security-guide # CentOS/RHEL sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard \ --results scan-results.xml \ /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

扫描报告可以转换为HTML格式便于阅读：

oscap xccdf generate report scan-results.xml > scan-report.html

6. 数据保护：备份与完整性验证

等保测评对数据保护和备份有明确要求，我们需要建立完善的备份机制。

6.1 自动化备份方案

使用rsync实现增量备份：

#!/bin/bash # 每日增量备份脚本 BACKUP_DIR=/backup/$(date +%Y%m%d) mkdir -p $BACKUP_DIR rsync -avz --delete --link-dest=/backup/last /etc $BACKUP_DIR/ rsync -avz --delete --link-dest=/backup/last /var/www $BACKUP_DIR/ rm -f /backup/last ln -s $BACKUP_DIR /backup/last

设置cron定时任务：

0 2 * * * /root/backup_script.sh

6.2 备份完整性检查

定期验证备份可用性：

# 创建校验文件 tar cf - /etc | sha256sum > /backup/etc_checksum # 验证备份 tar xf /backup/etc.tar -O | sha256sum -c etc_checksum

7. 等保测评常见问题与解决方案

在实际测评过程中，经常会遇到一些典型问题，以下是解决方案速查表：

在多年的运维实践中，我发现很多管理员只关注技术实现，而忽视了文档记录的重要性。等保测评不仅看系统配置，也会检查是否有完整的安全管理制度和操作记录。建议建立以下文档：

1. 系统安全配置基线文档
2. 变更管理记录
3. 定期安全检查表
4. 应急预案与演练记录