Linux服务器安全加固终极指南：10个关键步骤全面保护你的系统

Linux服务器安全加固终极指南：10个关键步骤全面保护你的系统

【免费下载链接】How-To-Secure-A-Linux-ServerAn evolving how-to guide for securing a Linux server.项目地址: https://gitcode.com/GitHub_Trending/ho/How-To-Secure-A-Linux-Server

在当今数字化时代，Linux服务器作为数据存储和服务运行的核心，其安全性直接关系到业务连续性和数据完整性。本指南将通过10个关键步骤，帮助新手和普通用户轻松掌握Linux服务器安全加固的核心方法，无需深入编程知识即可有效提升服务器防御能力。

一、SSH安全配置：服务器的第一道防线

SSH是远程管理服务器的主要入口，加固SSH配置是安全防护的首要任务。通过以下措施可显著降低未授权访问风险：

1.1 禁用密码登录，启用SSH密钥认证

使用Ed25519算法生成密钥对，替代传统密码登录：

ssh-keygen -t ed25519 ssh-copy-id user@server

编辑/etc/ssh/sshd_config文件，设置：

PasswordAuthentication no

1.2 限制SSH访问权限

创建专门的SSH用户组，仅允许指定用户通过SSH访问：

sudo groupadd sshusers sudo usermod -a -G sshusers username

在/etc/ssh/sshd_config中添加：

AllowGroups sshusers

1.3 启用双因素认证（2FA）

安装Google Authenticator PAM模块：

sudo apt install libpam-google-authenticator

为每个用户配置2FA：

google-authenticator

修改PAM配置/etc/pam.d/sshd，添加：

auth required pam_google_authenticator.so nullok

二、防火墙配置：网络访问的守门人

防火墙是控制网络流量的关键工具，通过UFW（Uncomplicated Firewall）可以简单高效地管理服务器访问规则。

2.1 安装并启用UFW

sudo apt install ufw sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow ssh sudo ufw enable

2.2 配置基本访问规则

仅开放必要端口，例如Web服务器需开放80/443端口：

sudo ufw allow http sudo ufw allow https

查看当前规则：

sudo ufw status verbose

三、系统更新与补丁管理：及时修复安全漏洞

保持系统和软件包最新是防范已知漏洞的有效方法，配置自动更新可确保及时应用安全补丁。

3.1 配置自动安全更新

安装 unattended-upgrades：

sudo apt install unattended-upgrades apt-listchanges

编辑配置文件/etc/apt/apt.conf.d/50unattended-upgrades，确保以下设置：

Unattended-Upgrade::Origins-Pattern { "o=Debian,a=stable"; "o=Debian,a=stable-updates"; "origin=Debian,codename=${distro_codename},label=Debian-Security"; }; Unattended-Upgrade::Automatic-Reboot "true";

四、用户权限管理：最小权限原则

合理分配用户权限，避免过度授权，减少安全风险。

4.1 限制sudo权限

创建sudo用户组，仅允许必要用户执行特权操作：

sudo groupadd sudousers sudo usermod -a -G sudousers username

编辑sudoers文件：

sudo visudo

添加：

%sudousers ALL=(ALL:ALL) ALL

4.2 禁用root直接登录

通过禁止root用户直接登录，降低特权账户被攻击的风险：

sudo passwd -l root

五、文件系统安全：保护关键数据

通过挂载选项和权限设置，增强文件系统安全性。

5.1 加固/proc文件系统

编辑/etc/fstab，添加：

proc /proc proc defaults,hidepid=2 0 0

使普通用户无法查看其他进程信息。

5.2 启用文件完整性监控

安装AIDE工具监控系统文件变化：

sudo apt install aide sudo aideinit

定期检查文件完整性：

sudo aide.wrapper --check

六、网络安全增强：防御网络攻击

除防火墙外，还需配置额外网络安全措施，抵御常见网络攻击。

6.1 配置Fail2ban防御暴力攻击

安装Fail2ban：

sudo apt install fail2ban

创建SSH防护规则/etc/fail2ban/jail.d/ssh.local：

[sshd] enabled = true banaction = ufw maxretry = 5

6.2 启用内核网络安全参数

编辑/etc/sysctl.conf，添加以下安全参数：

net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.tcp_syncookies = 1 net.ipv4.icmp_echo_ignore_all = 1

应用配置：

sudo sysctl -p

七、恶意软件防护：主动检测与清除

安装防病毒软件和rootkit检测工具，主动发现潜在威胁。

7.1 安装ClamAV防病毒软件

sudo apt install clamav clamav-freshclam sudo freshclam

定期扫描系统：

sudo clamscan -r /

7.2 配置Rootkit检测工具

安装rkhunter：

sudo apt install rkhunter

定期扫描：

sudo rkhunter --check

八、日志监控：及时发现异常活动

配置日志监控和分析，及时发现可疑行为。

8.1 配置logwatch发送日志摘要

安装logwatch：

sudo apt install logwatch

配置每日邮件报告，编辑/etc/cron.daily/00logwatch：

/usr/sbin/logwatch --output mail --format html --mailto your@email.com --range yesterday --service all

8.2 分离防火墙日志

创建专用iptables日志文件，编辑/etc/rsyslog.d/10-iptables.conf：

:msg, contains, "[IPTABLES] " /var/log/iptables.log & stop

九、Web服务器安全（Nginx）：保护Web应用

针对Nginx服务器，配置安全头和最佳实践。

9.1 隐藏服务器版本信息

编辑Nginx配置文件，添加：

server_tokens off;

9.2 配置安全响应头

添加以下HTTP头增强Web安全性：

add_header Content-Security-Policy "default-src 'self';" always; add_header X-Frame-Options SAMEORIGIN always; add_header X-Xss-Protection "1; mode=block" always; add_header X-Content-Type-Options nosniff always; add_header Referrer-Policy "strict-origin" always;

十、定期安全审计：持续评估安全状态

使用自动化工具定期评估服务器安全状况，发现潜在问题。

10.1 使用Lynis进行系统审计

安装Lynis：

sudo apt install lynis

执行安全审计：

sudo lynis audit system

10.2 检查开放端口和服务

定期检查服务器开放端口：

sudo ss -lntup

确保没有未授权的服务在运行。

通过以上10个关键步骤，即使是新手用户也能系统地提升Linux服务器的安全性。安全加固是一个持续过程，建议定期回顾和更新这些安全措施，以应对不断变化的威胁环境。记住，最有效的安全策略是多层次防御，结合技术措施和安全意识，才能构建真正稳固的服务器安全防线。

要开始使用本指南，可通过以下命令获取项目代码：

git clone https://gitcode.com/GitHub_Trending/ho/How-To-Secure-A-Linux-Server

【免费下载链接】How-To-Secure-A-Linux-ServerAn evolving how-to guide for securing a Linux server.项目地址: https://gitcode.com/GitHub_Trending/ho/How-To-Secure-A-Linux-Server