Linux系统合规维护（从零开始打造安全合规的Linux服务器）

一、什么是Linux系统合规？

Linux系统合规是指按照特定的安全规范（如CIS Linux Benchmark、等保2.0三级要求等），对操作系统进行配置、加固和审计，以降低安全风险、防止未授权访问，并满足监管要求的过程。常见的合规目标包括：关闭不必要的服务、设置强密码策略、启用日志审计、限制用户权限等。

二、基础合规配置步骤

1. 更新系统并安装必要工具

首先确保系统是最新的，这能修复已知漏洞：

# CentOS/RHELsudo yum update -y# Ubuntu/Debiansudo apt update && sudo apt upgrade -y  

2. 配置强密码策略

通过修改 /etc/pam.d/common-password（Debian系）或 /etc/pam.d/system-auth（RHEL系）来强制复杂密码。例如，在Ubuntu中：

sudo apt install libpam-pwquality -y  

然后编辑 /etc/security/pwquality.conf，添加以下内容：

minlen = 12minclass = 4dcredit = -1ucredit = -1lcredit = -1ocredit = -1  

这表示密码至少12位，包含大小写字母、数字和特殊字符。

3. 禁用不必要的服务

使用 systemctl 查看并禁用高危或无用服务，如Telnet、FTP等：

sudo systemctl list-unit-files --type=service | grep enabledsudo systemctl disable telnet.socketsudo systemctl stop telnet.socket  

4. 配置SSH安全

编辑 /etc/ssh/sshd_config 文件，建议设置：

PermitRootLogin noPasswordAuthentication no  # 建议使用密钥登录Protocol 2MaxAuthTries 3ClientAliveInterval 300  

修改后重启SSH服务：

sudo systemctl restart sshd  

三、启用日志审计（满足合规性检查要求）

安装并配置 auditd 工具，记录关键操作：

# 安装sudo apt install auditd audispd-plugins -y  # Debian/Ubuntusudo yum install audit -y                     # CentOS/RHEL# 启动并设置开机自启sudo systemctl enable auditdsudo systemctl start auditd  

可添加规则监控敏感文件，如 /etc/passwd：

sudo auditctl -w /etc/passwd -p wa -k passwd_changes  

四、定期进行合规扫描

可以使用开源工具如 Lynis 或 OpenSCAP 自动检查系统是否符合安全基线配置标准。

# 安装Lynissudo apt install lynis -y# 执行审计sudo lynis audit system  

工具会生成详细报告，指出不符合项及修复建议。

五、总结：持续维护是关键

操作系统加固不是一次性任务，而是一个持续过程。建议：

• 每月执行一次合规扫描
• 及时打补丁
• 定期审查用户账户和权限
• 备份重要配置文件

通过以上步骤，你的Linux服务器将大大提升安全性，并满足各类合规审计要求。

关键词：Linux系统合规、安全基线配置、操作系统加固、合规性检查