基本安全配置

Linux 系统的安全性虽高，但仍需进行必要的加固设置，以防止未经授权的访问和潜在攻击。以下是常见且实用的基础安全配置措施。

一、及时更新系统补丁

保持系统与软件包的最新状态，有助于修复已知安全漏洞。

# Debian/Ubuntu
sudo apt update && sudo apt upgrade -y

# CentOS/RHEL
sudo yum update -y

建议定期执行，或启用自动更新功能。

二、禁止 root 远程登录

编辑 SSH 配置文件：

sudo nano /etc/ssh/sshd_config

找到并修改：

PermitRootLogin no

然后重启 SSH 服务：

sudo systemctl restart sshd

三、创建普通用户并设置 sudo 权限

避免直接使用 root 操作系统：

sudo adduser adminuser
sudo usermod -aG sudo adminuser

四、设置复杂密码策略

通过 libpam-pwquality 模块实现密码强度控制：

sudo apt install libpam-pwquality

编辑 /etc/pam.d/common-password 文件，添加或修改：

password requisite pam_pwquality.so retry=3 minlen=12

五、启用并配置防火墙

推荐使用 ufw（Ubuntu）或 firewalld（CentOS）。

Ubuntu:

sudo apt install ufw
sudo ufw default deny
sudo ufw allow ssh
sudo ufw enable

CentOS:

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload

六、限制 su 命令权限

只允许特定用户组使用 su：

sudo groupadd wheel
sudo usermod -aG wheel adminuser

修改 /etc/pam.d/su 文件，取消注释：

auth required pam_wheel.so use_uid

七、自动锁屏与超时登出

添加以下内容至用户的 ~/.bashrc 或全局 /etc/profile：

export TMOUT=600  # 空闲10分钟自动退出

八、日志审计与入侵检测（建议）

可选安装：

• fail2ban：自动封锁异常 SSH 登录
• auditd：系统审计
• rkhunter：检测 Rootkit

示例安装：

sudo apt install fail2ban

九、关闭不必要的服务与端口

查看监听端口：

sudo ss -tunlp

关闭无用服务：

sudo systemctl disable --now service_name

---

这些基础安全配置虽然简单，但对提升 Linux 系统的安全性有显著作用，建议在部署新服务器时第一时间完成。