14个Linux系统安全小妙招，总有一招用的上！

对于互联网IT从业人员来说，越来越多的工作会逐渐转移到Linux系统之上，这一点，无论是开发、运维、测试都应该是深有体会。曾有技术调查网站W3Techs于2018年11月就发布一个调查报告，报告显示Linux在网站服务器的系统中使用率高达37.2%，这一数据也表明，Linux系统被广泛应用。其实，除了在网站服务器中的应用，Linux系统还被用于DNS域名解析服务器、电子邮件服务器、一些开源软件的应用(大数据应用：据Linux基金会的研究，86%的企业已经使用Linux操作系统进行云计算、大数据平台的构建)服务器等之上。

大多数使用者都会认为Linux默认是安全的，有时候这种说法也的确是一个存在争议的话题。Linux默认确实有内置的安全模型。你需要打开它并且对其进行定制，这样才能得到更安全的系统。Linux更难管理，不过相应也更灵活，有更多的配置选项。

对于系统管理员，让产品的系统更安全，免于骇客和黑客的攻击，一直是一项挑战。而且，近些年来对于Linux遭遇攻击的案例很多，所以，如何构建一个安全、强大且牢固的Linux系统一直是一个可探索性的话题。今天，我将从系统的各个层面，给大家分享一下我在日常工作中是如何构建、或者加固Linux系统安全的。

1. 物理安全

这应该说是对于服务器安全保障的第一步。

硬件服务器，首先得专业人的来做专业的维护。其次就是关闭从CD/DVD等这些方面的软启动方式。同时也可以设置BIOS密码，并且要有限制访问的策略与各类流程管控。

还可以禁用USB设备来达到安全的目的：

vim/etc/modprobe.d/stopusb
installusb-storage/bin/true

或者使用下面的命令将USB的驱动程序删除

[root@rs-server~]#mv/lib/modules/3.10.0-693.el7.x86_64/kernel/drivers/usb/storage/usb-storage.ko.xz

2. 保证系统最新

这个就是说要保证系统无其它漏洞存在，比如：已经有的漏洞要及时的修复。保证系统包含了最新版本的补丁、安全修复和可用内核。

yumupdates
yumcheck-update

3. 最小化处理原则

无论是安装系统，还是常用的软件，都必须遵守这个原则：最小化安装，同时也是减少漏洞存在的可能性。

对于系统一些不必要的服务、端口，建议关闭。

[root@rs-server~]#chkconfig--list|grep"3:on"
network0:off1:off2:on3:on4:on5:on6:off

然后使用下面的命令关闭：

chkconfigservice-nameoff

4. 登录与连接

对于Linux服务器来说，一般都是采用远程登录(SSH)连接的方式去进行登录操作。因此：

• 第一步：就是除了非必要情况，杜绝使用root用户登录，可以使用sudo来进行提权操作，然后利用系统命令将/etc/sudoers文件锁定(除root用户之外的用户无权限修改)。
• 第二步：建议修改SSH配置文件，比如默认端口号22，禁止root密码登录(有些自有机房的还可以直接禁用root用户通过SSH协议登录)等。

[root@rs-server~]#vim/etc/ssh/sshd_config
#Port22
可修改成其它端口号，民工哥常用IP+22混合使用
#PermitRootLoginyes
将yes改成No
#PermitEmptyPasswordsno
打开注释即可
#AllowUsersusername
指定特定的用户通过SSH协议进行远程连接

5. 用户管理

Linux是一个可多用户并行操作的系统，所以，系统也对用户进行了划分：超级用户与普通用户。两者权限不同，因此，能干的事也有所不同，所以，对于用户的管理也是非常重要的一步。

设置用户密码：

这个可以通过系统命令passwd来进行设置，一般建议使用强度比较复杂的密码，且各个系统中相同的用户使用不同的密码(日常可以使用管理器来管理)。

[root@rs-server~]#passwdmingongge
Changingpasswordforusermingongge.
Newpassword:
Retypenewpassword:
passwd:allauthenticationtokensupdatedsuccessfully.

临时用户管理：

对于这种需要的临时用户管理，一般是使用过后可以删除，也可以在一段时间后将其锁定不让其再登录，在下次需要登录时再次开启权限。

删除用户很简单，可以使用系统命令userdel -r username 进行删除。

锁定用户其实就是修改用户的属性：

[root@rs-server~]#usermod-Lmingongge

我们打开终端尝试登录看看：

这时发现已经无法正常登录连接了，表明刚刚的配置是正确的。等到下次需要登录时，可以使用下面的命令进行解锁：

[root@rs-server~]#usermod-Umingongge
#-Llock
#-Uunlock

6. 文件管理

这里的文件管理指的是存储用户信息的重要文件：/etc/passwd、/etc/shadow这两个文件。

[root@rs-server~]#stat/etc/passwd
File:‘/etc/passwd’
Size:945Blocks:8IOBlock:4096regularfile
Device:fd00h/64768dInode:17135889Links:1
Access:(0644/-rw-r--r--)Uid:(0/root)Gid:(0/root)
Access:2019-08-0601:14:37.439994172+0800
Modify:2019-08-0601:14:37.440994172+0800
Change:2019-08-0601:14:37.442994172+0800
Birth:-
[root@rs-server~]#stat/etc/shadow
File:‘/etc/shadow’
Size:741Blocks:8IOBlock:4096regularfile
Device:fd00h/64768dInode:17135890Links:1
Access:(0000/----------)Uid:(0/root)Gid:(0/root)
Access:2019-08-0601:14:37.445994172+0800
Modify:2019-08-0601:14:37.445994172+0800
Change:2019-08-0601:14:37.447994172+0800
Birth:-

一般从上面的一些文件属性上可以看出是不是这些文件遭遇篡改了，所以，一般情况建议将此两个文件锁定除了root用户之外的用户无权限修改与访问。

7. 启用防火墙

利用系统的防火墙来过滤出入站的流量，这是一个很好的预防攻击的策略，而且系统防火墙的规则可以逐条设置，非常强大，强裂建议开启。

8. 软件包的管理

对于系统安装的软件，我们使用RPM包管理器来管理，对于使用yum或者apt-get命令列出来的软件，在对其进行删除、卸载时，一定要使用下面的命令进行：

yum-yremovesoftware-package-name
sudoapt-getremovesoftware-package-name

9. 禁用Crtl+Alt+Del 重启

多数服务器在按下Crtl+Alt+Del组合键后，都会使用服务器重启，这个对于线上服务器来说是绝对不友好的一个安全因素，必须禁止，否则一个误操作就造成很大的影响。

#CentOS6禁用Ctrl+Alt+Del重启功能
#方法一：
vi/etc/init/control-alt-delete.conf
#startoncontrol-alt-delete#注释此行

#方法二：
mv/etc/init/control-alt-delete.conf/etc/init/control-alt-delete.conf.bak

#注：两种方法都无需重启系统即可生效

对于CentOS7 来说，方法有所不同：

[root@rs-server~]#cat/etc/inittab
#inittabisnolongerusedwhenusingsystemd.
#
#ADDINGCONFIGURATIONHEREWILLHAVENOEFFECTONYOURSYSTEM.
#
#Ctrl-Alt-Deleteishandledby/usr/lib/systemd/system/ctrl-alt-del.target
#
#systemduses'targets'insteadofrunlevels.Bydefault,therearetwomaintargets:
#
#multi-user.target:analogoustorunlevel3
#graphical.target:analogoustorunlevel5
#
#Toviewcurrentdefaulttarget,run:
#systemctlget-default
#
#Tosetadefaulttarget,run:
#systemctlset-defaultTARGET.target
#

这个文件里已经说明了相关的介绍。

经过测试，如果将上面文件中的配置注释掉之后，reboot命令会不生效了：

[root@rs-server~]#ll/usr/lib/systemd/system/ctrl-alt-del.target
lrwxrwxrwx.1rootroot13Mar1417:27/usr/lib/systemd/system/ctrl-alt-del.target->reboot.target

这个ctrl-alt-del.target这是reboot.target的软链接。所以，最终正确的方法是：移动掉这个文件到其它目录，然后重载配置文件使用其它生效，如果再需要这个功能就只需要重新添加这个软件链接即可。

10. 监控用户行为

如果你的系统中有很多的用户，去收集每一个用户的行为和和他们的进程消耗的信息非常重要。可以随后和一些性能优化和安全问题处理时进行用户分析。但是如果监视和搜集用户行为信息呢 ?有两个很有用的工具‘psacct‘ 和 ‘acct‘可以用来监视系统中用户的行为和进程。

[root@rs-server~]#yuminstallpsacct-y

使用方法如下：

ac统计用户连接时间
ac#显示所有用户连接总时间
ac-p#显示每个用户连接时间
ac-d#显示每天所有用户连接总时间
acsilence#显示指定用户连接时间
ac-dsilence#显示指定用户每天连接时间

sa输出用户活动信息
sa#显示所有用户执行命令情况
sa-u#按用户显示执行命令情况
sa-m#按进程显示执行命令情况
sa-p#按使用率显示执行命令情况

lastcomm输出最近执行命令信息
lastcomm#显示所有执行命令
lastcommsilence#显示指定用户执行命令
lastcommls#显示指定命令执行情况

其他
last#查看最近用户登录成功列表
last-x#显示系统关机、重新开启等信息
last-a#将IP显示在最后一列
last-d#对IP进行域名解析
last-R#不显示IP列
last-n3#显示最近3条
lastb#查看最近用户登录失败的列表

具体的使用例子：

[root@rs-server~]#ac-p
root71.88
total71.88
[root@rs-server~]#sa-u
root0.00cpu1043kmem0ioaccton
root0.00cpu3842kmem0iosystemd-tty-ask
root0.03cpu72576kmem0iopkttyagent
root0.00cpu32112kmem0iosystemctl
root0.00cpu2674kmem0iosystemd-cgroups
root0.07cpu37760kmem0iops
root0.00cpu28160kmem0iogrep
root0.00cpu1080kmem0ioac
root0.14cpu0kmem0iokworker/u256:0*
root0.10cpu0kmem0iokworker/0:0*
root0.02cpu0kmem0iokworker/0:2*

[root@rs-server~]#lastcommsa
sarootpts/00.00secsTueAug602:15

[root@rs-server~]#last-x
rootpts/0192.168.1.14TueAug600:48stillloggedin
roottty1TueAug600:48stillloggedin

[root@rs-server~]#lastb
mingonggssh:notty192.168.1.14TueAug601:11-01:11(00:00)
mingonggssh:notty192.168.1.14TueAug601:11-01:11(00:00)

btmpbeginsTueAug601:11:272019

11. 定期检查日志

将系统及其重要的日志保存在本服务器之外的专业日志服务器上，从而避免黑客通过分析日志来入侵系统及应用，以下是常见的日志文件：

12. 数据备份

这个不用说都知道是非常重要的，尤其是重要的生产数据，必须本地、异地、不同介质备份及保存，同时还需要定期检查数据的完整性、可用性。

13. 安全工具

对于系统来说，常用的安全扫描工具是必备的，比如：扫描开放端口nmap。对于系统中的WEB应用等来说，可以使用一些开源的工具：IBM AppScan、SQL Map等，同样这类的商用产品也很多，这里就不做介绍了(又不给我广告费)。

对于文件有文件加密工具，对于系统还有一些入侵检测、漏洞扫描工具，无论是开源还是商业，都是可以根据实际需求与企业成本来决定使用哪一款工具。

14. 管理方法

对于安全管理来说，好的流程与管理制度同样也是必须的，否则，上述13点基本的作用为0，有方法，没有制度去让方法落地执行!!

所以，无论对于小企业、大企业来说，流程、管理制度始终是先行于所有的处理方法之前的。人才是世界上最不可控的因素!!