Linux系统安全防护实战：账号管理与端口控制

1. Linux系统安全防护全景视角

作为在Linux运维领域摸爬滚打十多年的老鸟，我见过太多因基础安全措施不到位导致的严重事故。上周刚处理完某企业服务器被植入挖矿程序的案例，溯源发现根本原因竟是管理员账户使用默认密码。这促使我系统梳理Linux安全防护的核心要点，这些实战经验或许能帮你避开我踩过的那些坑。

Linux系统安全绝非安装个防火墙那么简单，它需要从身份认证、启动防护、访问控制到入侵检测的全链条防御。本指南将聚焦四个最易被忽视却至关重要的基础环节：账号安全管控、系统引导加固、弱口令防御体系以及端口暴露面管理。这些措施在CentOS和Ubuntu等主流发行版上均验证有效，部分方案甚至能让老旧系统安全等级提升200%以上。

2. 账号安全深度管控方案

2.1 用户生命周期管理规范

新建用户时务必使用-s /sbin/nologin限制交互登录权限，生产环境推荐采用最小权限原则：

bash复制# 创建仅用于运行服务的系统账户
useradd -M -s /sbin/nologin app_runner

关键配置文件权限必须收紧：

bash复制chmod 600 /etc/passwd /etc/shadow
chattr +i /etc/passwd  # 防止添加用户

定期审计命令：

bash复制# 检查空密码账户
awk -F: '($2 == "") {print $1}' /etc/shadow

# 检查UID为0的非root账户
awk -F: '($3 == 0) {print $1}' /etc/passwd | grep -v root

2.2 sudo权限精细化控制

避免直接给用户ALL权限，而是按需授权。建议创建/etc/sudoers.d/目录下的独立配置文件：

code复制# 允许开发组仅重启特定服务
%dev_team ALL=(root) /bin/systemctl restart nginx

启用sudo操作日志审计：

code复制# 在/etc/sudoers追加
Defaults logfile="/var/log/sudo.log"
Defaults log_input, log_output

3. 系统引导级防护策略

3.1 GRUB加密与启动项锁定

生成GRUB2密码哈希：

bash复制grub2-mkpasswd-pbkdf2
# 输入密码后将输出如下内容
grub.pbkdf2.sha512.10000.9CA4611003...

编辑/etc/grub.d/40_custom添加：

code复制set superusers="admin"
password_pbkdf2 admin grub.pbkdf2.sha512.10000.9CA4611003...

更新GRUB配置：

bash复制chmod 600 /etc/grub.d/40_custom
grub2-mkconfig -o /boot/grub2/grub.cfg

3.2 单用户模式防护

禁用root直接登录单用户模式：

bash复制# 修改/etc/sysconfig/init
SINGLE=/sbin/sulogin

4. 弱口令防御体系构建

4.1 密码策略强制实施

修改/etc/security/pwquality.conf：

code复制minlen = 12
dcredit = -1  # 至少1位数字
ucredit = -1  # 至少1位大写字母
ocredit = -1  # 至少1位特殊字符

设置密码有效期：

bash复制# /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_WARN_AGE 14

4.2 自动化弱口令扫描

使用hydra进行自检：

bash复制hydra -l root -P top1000.txt ssh://localhost -t 4 -vV

推荐密码字典：

• rockyou.txt（含1400万真实泄露密码）
• SecLists项目中的常见密码组合

5. 端口暴露面管理实战

5.1 智能端口扫描检测

使用nmap高级扫描技巧：

bash复制# 隐蔽扫描+服务识别
nmap -sS -sV -T4 -Pn --script vuln 192.168.1.0/24

# 输出开放端口统计报告
nmap -oX scan.xml && xsltproc scan.xml -o report.html

5.2 防火墙策略优化

firewalld推荐配置：

bash复制# 默认拒绝所有
firewall-cmd --set-default-zone=drop

# 仅放行必要服务
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-port=8080/tcp

关键防护规则：

bash复制# 防SSH暴力破解
firewall-cmd --add-rich-rule='rule service name="ssh" audit limit value="3/m" accept'

6. 安全加固效果验证

实施上述措施后，建议使用以下工具进行验证：

• Lynis：系统安全审计工具
• OpenSCAP：合规性检查框架
• AIDE：文件完整性监控

典型检测命令：

bash复制lynis audit system
oscap xccdf eval --profile stig-rhel7-disa /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

记得定期检查/var/log/secure和/var/log/auth.log，这些日志往往能提前暴露入侵企图。我曾通过日志中的异常sudo操作发现过内网横向移动行为，及时阻断了APT攻击。安全防护从来不是一劳永逸的事，需要持续监控和迭代策略。