Linux系统安全配置全攻略 (authconfig+SSH+权限+日志+umask)

一、认证安全基石：authconfig 与 PAM

对于Linux系统，用户认证是第一道门。authconfig是Red Hat系列系统提供的认证配置工具，可以简化/etc/pam.d/和/etc/login.defs的调整。例如，要启用更安全的密码哈希算法SHA512并更新配置文件，可以运行：sudo authconfig --passalgo=sha512 --update。此外，通过authconfig还能集成LDAP、Winbind等集中认证，适合中大型环境。结合PAM模块pam_pwquality.so，可以设置密码复杂度，如最小长度、字符类等，在/etc/security/pwquality.conf中配置。对于小白，推荐至少设置密码有效期和强度：chage -M 90 用户名 或编辑/etc/login.defs中的PASS_MAX_DAYS。

二、SSH远程安全加固（SSH安全加固）

SSH是服务器远程管理的主要通道，必须重点防护。编辑SSH配置文件 /etc/ssh/sshd_config，进行以下设置：- 更改默认端口：Port 2222（避开自动化扫描）- 禁止root直接登录：PermitRootLogin no- 禁用密码认证，强制使用密钥：PasswordAuthentication no，PubkeyAuthentication yes- 限制登录尝试次数：MaxAuthTries 3- 关闭DNS反向解析：UseDNS no完成后重启sshd：sudo systemctl restart sshd。务必在修改前保持一个登录会话，以免被锁在外。此外，可利用AllowUsers或AllowGroups限制可登录的用户。这些措施极大提升SSH安全性，是Linux安全配置的核心环节。

三、文件系统权限管理（文件权限管理）

Linux权限模型基于UGO（用户、组、其他）。通过 ls -l 查看，chmod 修改权限，例如 chmod 750 file 表示所有者可读写执行，组可读执行，其他无权限。对于目录，执行权限允许进入。特殊权限：SUID（4）、SGID（2）、Sticky（1）。SUID允许用户以文件所有者权限执行程序（如passwd），设置 chmod 4755；SGID使目录下新建文件继承组；Sticky防止用户删除他人文件（如/tmp），设置chmod 1777。要定期检查无主文件、全局可写文件，使用 find / -nouser -o -nogroup 等命令。合理规划权限可防止越权访问，是Linux安全配置中文件权限管理的关键。

四、日志监控与审计（日志审计设置）

日志记录系统活动，对故障排查和安全审计至关重要。主流日志系统rsyslog，配置文件 /etc/rsyslog.conf 定义规则，例如所有认证日志存于/var/log/secure。查看日志可使用 tail -f /var/log/messages。为确保日志不被塞满，配置logrotate进行轮转，如/etc/logrotate.conf。高级安全要求将日志发送到远程日志服务器，在rsyslog中添加 . @remote-ip:514。同时监控关键日志的篡改，可以使用chattr +a属性。日志审计设置帮助管理员及时发现异常登录或提权行为。

五、默认权限掩码 umask 设置

umask决定新创建文件和目录的默认权限。执行 umask 查看当前值，通常为022（文件644，目录755）。更严格的设置如027（文件640，目录750）可防止组外读取。全局设置可在 /etc/profile、/etc/bashrc 或 /etc/login.defs 中修改，例如添加 umask 027。注意对于共享目录，需权衡。合理配置umask能从根本上减少权限过度暴露的风险，是Linux安全配置中不可忽视的一环。

六、综合安全建议

除了上述，还应启用防火墙（firewalld/iptables）、配置SELinux或AppArmor、定期更新补丁、使用入侵检测工具如AIDE。安全是一个持续过程，遵循最小权限原则，定期审计。希望本攻略助你理解Linux安全配置的要点，从authconfig到umask，构建稳固的服务器。

本文关键词：Linux安全配置、SSH安全加固、文件权限管理、日志审计设置，这些术语贯穿全文，是每个运维人员必须掌握的技能。