筑牢数字防线（Linux系统安全加固从入门到实践）

一、更新系统与软件包

第一步永远是确保系统处于最新状态，及时修补已知漏洞：

# Ubuntu/Debian 系统sudo apt update && sudo apt upgrade -y# CentOS/RHEL 系统sudo yum update -y# 或使用 dnf（较新版本）sudo dnf update -y

二、创建普通用户并禁用 root 远程登录

直接使用 root 用户远程登录风险极高。应创建普通用户，并通过 sudo 执行特权命令。

# 创建新用户（例如：adminuser）sudo adduser adminuser# 将用户加入 sudo 组（Ubuntu/Debian）sudo usermod -aG sudo adminuser# CentOS/RHEL 中加入 wheel 组sudo usermod -aG wheel adminuser

三、SSH 安全配置（关键步骤！）

SSH安全配置是防止暴力破解的第一道防线。编辑 SSH 配置文件：

sudo nano /etc/ssh/sshd_config

修改以下关键参数：

• Port 2222 —— 修改默认端口（可选但推荐）
• PermitRootLogin no —— 禁止 root 登录
• PasswordAuthentication no —— 禁用密码登录，改用密钥认证（更安全）
• AllowUsers adminuser —— 仅允许指定用户登录

保存后重启 SSH 服务：

sudo systemctl restart sshd

四、配置防火墙（UFW 或 firewalld）

防火墙设置能有效限制不必要的网络访问。

Ubuntu/Debian（使用 UFW）：

sudo ufw default deny incomingsudo ufw default allow outgoingsudo ufw allow 2222/tcp  # 替换为你设置的 SSH 端口sudo ufw enable

CentOS/RHEL（使用 firewalld）：

sudo firewall-cmd --permanent --add-port=2222/tcpsudo firewall-cmd --permanent --remove-service=sshsudo firewall-cmd --reload

五、加强用户权限管理

用户权限管理是系统安全的核心。遵循“最小权限原则”：

• 定期审查用户账户： cut -d: -f1 /etc/passwd
• 删除不再使用的账户： sudo userdel -r olduser
• 设置强密码策略（安装 pam_pwquality）：

# Ubuntu/Debiansudo apt install libpam-pwquality# 编辑 /etc/pam.d/common-password，添加或修改：password requisite pam_pwquality.so retry=3 minlen=12 difok=3 ucredit=-1 lcredit=-1 dcredit=-1

六、其他建议

• 安装并启用 fail2ban：自动封禁多次尝试登录失败的 IP
• 定期备份重要数据
• 监控系统日志（/var/log/auth.log 或 /var/log/secure）
• 关闭不必要的服务（如 FTP、Telnet 等）

结语

通过以上六个步骤，你已经为你的 Linux 服务器构建了坚实的安全基础。记住，安全不是一次性的任务，而是一个持续的过程。定期检查、更新和审计，才能真正守护你的系统安全。

关键词回顾：Linux系统安全加固、SSH安全配置、防火墙设置、用户权限管理——这些是你日常运维中必须掌握的核心技能。