筑牢数字防线（Linux系统安全维护从入门到精通）

一、强化账户与密码安全

账户是系统的第一道门。确保只有授权用户能访问系统，是账户安全配置的核心目标。

• 禁用或删除不必要的默认账户（如 guest）
• 为所有用户设置强密码策略
• 限制 root 登录，改用普通用户 + sudo 方式操作

你可以通过编辑 /etc/pam.d/common-password（Debian/Ubuntu）或 /etc/pam.d/system-auth（CentOS/RHEL）来启用密码复杂度规则。例如，在 Ubuntu 中添加以下行：

password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1

这表示密码至少10位，包含大小写字母和数字，且与旧密码至少有3个字符不同。

二、配置防火墙保护网络入口

现代Linux发行版大多使用 ufw（Uncomplicated Firewall）或 firewalld。合理设置防火墙设置可以有效阻止未授权访问。

以 Ubuntu 为例，启用 UFW 并只开放 SSH（22端口）：

sudo ufw default deny incomingsudo ufw default allow outgoingsudo ufw allow sshsudo ufw enable

执行后，系统将拒绝所有入站连接，仅允许你主动发起的出站连接和SSH远程登录。

三、定期更新系统与软件

漏洞往往藏在过时的软件中。定期运行系统更新是防范已知漏洞最有效的方式之一。

# Ubuntu/Debiansudo apt update && sudo apt upgrade -y# CentOS/RHELsudo yum update -y# 或（较新版本）sudo dnf upgrade -y

四、启用日志监控与审计

当安全事件发生时，日志是你最重要的“侦探工具”。日志监控能帮助你及时发现异常行为。

关键日志文件包括：

• /var/log/auth.log：记录登录、sudo 使用等认证事件（Debian/Ubuntu）
• /var/log/secure：同上（CentOS/RHEL）
• /var/log/syslog 或 /var/log/messages：系统通用日志

你可以使用 journalctl 实时查看系统日志：

# 查看最近100条认证日志sudo journalctl -u ssh --since "1 hour ago" | tail -100

更高级的做法是部署集中式日志系统（如 ELK Stack）或使用 fail2ban 自动封禁暴力破解IP。

结语

通过以上四个核心步骤——强化账户安全配置、合理进行防火墙设置、保持系统更新、实施日志监控，你已经为你的Linux系统构建了坚实的安全基础。记住，Linux系统安全不是一次性的任务，而是一个持续的过程。定期检查、学习新威胁、及时响应，才能让你的系统始终处于安全状态。