Linux系统的基本安全设置_/etc/security/pwquality.conf 安全设置

保护Linux系统的安全性是系统管理员的首要任务之一。在本文中，将提供详细的步骤和示例代码，来帮助您进行基本的Linux系统安全设置，以降低潜在的威胁和风险。

更新系统

确保Linux系统处于最新状态，安装所有可用的安全更新。

使用以下命令：

# 更新包列表
sudo apt update    # 对于Ubuntu/Debian
sudo yum update    # 对于CentOS/RHEL
1
2
3

# 安装安全更新
sudo apt upgrade    # 对于Ubuntu/Debian
sudo yum upgrade    # 对于CentOS/RHEL
1
2
3

使用强密码

强密码是系统安全的第一道防线。确保用户使用足够复杂的密码。可以通过以下方式强制要求用户设置强密码：

# 安装密码策略工具
sudo apt install libpam-pwquality    # 对于Ubuntu/Debian
sudo yum install libpwquality        # 对于CentOS/RHEL
1
2
3

# 配置密码策略
sudo nano /etc/security/pwquality.conf

# 在文件中添加以下行来定义密码策略
minlen = 12
minclass = 3
1
2
3
4
5
6

然后，编辑PAM配置文件以应用密码策略：

# 编辑PAM配置文件
sudo nano /etc/security/pwquality.conf

# 在文件的合适位置添加以下行
password requisite pam_pwquality.so retry=3
1
2
3
4
5

禁用不必要的服务

检查并禁用不必要的网络服务，以降低攻击面。使用以下命令列出当前运行的服务：

# 列出当前运行的服务
sudo systemctl list-units --type=service --state=running
1
2

要禁用不需要的服务，使用以下命令：

# 禁用服务
sudo systemctl disable <service-name>
1
2

配置防火墙

使用防火墙来限制入站和出站流量，以确保只有授权的流量能够进入系统。可以使用以下命令配置防火墙：

针对Ubuntu/Debian

# 安装ufw（Uncomplicated Firewall）
sudo apt install ufw

# 启用防火墙
sudo ufw enable

# 允许SSH流量
sudo ufw allow OpenSSH

# 允许其他必要的服务或端口
sudo ufw allow <port>
1
2
3
4
5
6
7
8
9
10
11

针对CentOS/RHEL

# 安装firewalld
sudo yum install firewalld

# 启用并启动firewalld服务
sudo systemctl enable firewalld
sudo systemctl start firewalld

# 允许SSH流量
sudo firewall-cmd --permanent --add-service=ssh

# 允许其他必要的服务或端口
sudo firewall-cmd --permanent --add-port=<port>/tcp
1
2
3
4
5
6
7
8
9
10
11
12

配置SSH安全性

SSH是远程访问Linux系统的主要方式，因此要确保其安全性：

更改SSH默认端口

编辑SSH配置文件以更改默认端口（默认是22）：

# 编辑SSH配置文件
sudo nano /etc/ssh/sshd_config

# 更改端口号
Port <new-port>
1
2
3
4
5

禁用root登录

在SSH配置文件中，禁用root用户登录：

# 禁用root登录
PermitRootLogin no
1
2

使用SSH密钥

使用SSH密钥对替代密码登录，提高安全性。生成SSH密钥对并将公钥复制到目标系统：

# 生成SSH密钥对（在本地系统）
ssh-keygen -t rsa
1
2

将公钥复制到目标系统：

# 复制公钥到目标系统
ssh-copy-id <username>@<remote-host>
1
2

监控系统日志

监控系统日志以及时检测潜在的问题和入侵尝试。使用以下命令查看系统日志：

# 查看系统日志
sudo cat /var/log/syslog    # 对于Ubuntu/Debian
sudo cat /var/log/messages  # 对于CentOS/RHEL
1
2
3

还可以使用工具如Logwatch或Fail2ban来自动监控并报告系统活动和安全事件。

配置用户权限

合理配置用户权限是系统安全的一个关键方面。确保每个用户只能访问其需要的文件和目录，并限制他们对系统的访问。

用户和组管理

• 创建和管理用户和组：使用useradd和groupadd命令创建新用户和组，使用usermod和groupmod命令管理现有用户和组。示例：

# 创建新用户
sudo useradd newuser

# 创建新组
sudo groupadd newgroup

# 将用户添加到组
sudo usermod -aG newgroup newuser
1
2
3
4
5
6
7
8

文件和目录权限

• 更改文件和目录权限：使用chmod命令更改文件和目录的权限，使用chown命令更改所有者和组。示例：

# 更改文件权限为只读
chmod 400 file.txt

# 更改目录权限，允许用户读、写和执行
chmod 700 mydirectory

# 更改文件的所有者和组
chown newuser:newgroup file.txt
1
2
3
4
5
6
7
8

访问控制列表（ACL）

• 使用ACL控制访问：ACL是一种高级权限管理工具，允许更精细地控制文件和目录的访问。示例：

# 添加ACL条目，允许用户读取文件
setfacl -m u:newuser:read_data file.txt

# 查看文件的ACL设置
getfacl file.txt
1
2
3
4
5

启用SELinux

Security-Enhanced Linux（SELinux）是一个强制访问控制（MAC）系统，可以提供更强大的安全性。可以通过以下步骤启用SELinux：

针对CentOS/RHEL

# 安装SELinux工具
sudo yum install policycoreutils selinux-policy-targeted

# 启用SELinux并重启系统
sudo setenforce 1
sudo systemctl reboot
1
2
3
4
5
6

针对Ubuntu/Debian

# 安装SELinux工具
sudo apt install selinux-utils

# 启用SELinux并重启系统
sudo selinux-activate
sudo reboot
1
2
3
4
5
6

定期备份数据

定期备份系统数据是系统安全的重要方面。使用备份工具如rsync、tar或专业备份解决方案来创建定期的系统备份。

使用rsync备份数据

# 使用rsync备份数据到远程服务器
rsync -avz /path/to/source user@remote:/path/to/backup
1
2

监控系统安全

定期监控系统安全性，以检测潜在的问题和入侵尝试。使用安全监控工具如AIDE（Advanced Intrusion Detection Environment）来检查系统文件的完整性。

安装和配置AIDE

# 安装AIDE
sudo apt install aide   # 对于Ubuntu/Debian
sudo yum install aide   # 对于CentOS/RHEL

# 初始化AIDE数据库
sudo aideinit
1
2
3
4
5
6

总结

通过执行这些进一步的Linux系统安全设置，可以进一步提高系统的安全性，降低潜在的威胁和风险。这些步骤包括配置用户权限、启用SELinux、定期备份数据和监控系统安全性。系统管理员应定期审查和更新这些设置，以确保系统保持在安全状态，并且能够快速应对潜在的威胁和问题。通过综合考虑这些安全最佳实践，可以更好地保护Linux系统免受潜在的威胁和攻击。