Linux 安全加固:从攻击链反推,把每道门都锁上
前置阅读:Linux 性能分析:CPU/内存/IO/网络 、 进程管理:Linux 怎么看、怎么管、怎么杀。
文章目录
- 引言
- 一、把攻击链拉出来
- 二、攻击面收缩:减少能被打到的东西
- 服务最小化
- 内核网络参数加固
- 三、SSH 加固:最常被打的门
- 认证层:消灭密码登录
- 协议层:选择安全的算法套件
- 四、fail2ban:不只是 SSH 防暴力破解
- 架构理解
- SSH jail 精细配置
- Nginx 反向代理场景
- 验证 fail2ban 是否真的在工作
- 五、SELinux:不是用来关掉的
- 核心模型理解
- 最常见的 SELinux 问题场景和排错
- 常用 SELinux 布尔值(生产常见场景)
- 六、权限最小化:不只是 chmod
- 层次一:文件系统权限基线
- 层次二:Linux Capabilities(精细化的 SUID 替代)
- 层次三:systemd 服务沙箱
- 层次四:sudo 权限精细化
- 七、auditd:知道发生了什么
- 关键审计规则
- 八、PAM:认证策略的最后一道门
- 九、加固效果综合验证
- 快速自检清单
- 整体防护层次总结
- 小结
引言
大多数安全加固文章的结构是这样的:一份清单,逐条写"修改 SSH 端口、禁用 root 登录、安装 fail2ban",然后告诉你怎么操作。读完感觉学了很多,遇到真实攻击还是一脸茫然,因为不知道每个配置背后防的是什么。
这篇文章换一个视角:从攻击链出发,把攻击者的每一步行动对应到防守方的具体措施。每个措施不只给配置,还给验证方法——加固完怎么确认它真的有效,而不是配了个寂寞。