一、系统基础安全加固

1.1 最小化安装原则

Linux发行版默认安装包含大量非必要软件包，形成潜在攻击面。建议采用最小化安装策略，仅保留核心服务组件。例如在CentOS/RHEL系统中：

# 安装基础系统（无图形界面）
yum groupinstall "Minimal Install"
# 移除无用软件包
yum remove httpd* mysql* php*  # 示例：移除Web服务组件

通过dnf remove --duplicates清理重复依赖包，使用rpm -Va验证关键文件完整性。建议每季度执行一次系统包审计，确保仅运行必需服务。

1.2 用户权限管理

实施RBAC（基于角色的访问控制）模型，关键配置包括：

• 禁用root远程登录：修改/etc/ssh/sshd_config中的PermitRootLogin no
• 创建专用运维账户：

  useradd -m -s /bin/bash opsadmin
  passwd opsadmin  # 设置强密码（12位+大小写+数字+特殊字符）

• 配置sudo权限白名单：在/etc/sudoers中精确控制命令权限

  opsadmin ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx, /usr/bin/iptables

1.3 防火墙深度配置

iptables/nftables规则应遵循”默认拒绝，按需放行”原则：

# 基础规则示例
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP  # 禁用ICMP响应

建议结合fail2ban实现动态防护，配置/etc/fail2ban/jail.local：

[sshd]
enabled = true
maxretry = 3
bantime = 86400  # 封禁24小时
findtime = 3600  # 1小时内3次失败即触发

二、服务层安全防护

2.1 SSH服务加固

关键优化项包括：

• 升级到OpenSSH 8.0+版本（支持更强的密钥交换算法）
• 禁用弱加密算法：修改sshd_config：

  Ciphers aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
  KexAlgorithms curve25519-sha256@libssh.org
  MACs hmac-sha2-512-etm@openssh.com

• 实施双因素认证：结合Google Authenticator或YubiKey
• 配置会话超时：ClientAliveInterval 300（5分钟无操作断开）

2.2 Web服务安全

Nginx/Apache配置要点：

• 禁用危险HTTP方法：

  # Nginx配置示例
  if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 444;
  }

• 配置HSTS头：

  add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

• 限制上传文件类型：通过mime.types和location块精确控制

2.3 数据库安全

MySQL/MariaDB防护措施：

• 禁用匿名账户和test数据库
• 实施IP白名单：

  CREATE USER 'dbadmin'@'192.168.1.%' IDENTIFIED BY '强密码';
  GRANT SELECT,INSERT ON dbname.* TO 'dbadmin'@'192.168.1.%';

• 启用审计插件：安装mysql-audit-plugin记录所有操作
• 定期轮换密钥：每90天执行ALTER USER 'root'@'localhost' IDENTIFIED BY '新密码';

三、高级防护技术

3.1 入侵检测系统

部署OSSEC HIDS实现实时监控：

1. 安装配置：

   wget https://github.com/ossec/ossec-hids/archive/refs/tags/3.6.0.tar.gz
   tar xzf 3.6.0.tar.gz
   cd ossec-hids-3.6.0
   ./install.sh  # 选择服务器模式

2. 关键配置项：

• /var/ossec/etc/ossec.conf中设置<active-response>
• 配置邮件告警：<email_alerts>部分设置SMTP参数
• 添加自定义检测规则：/var/ossec/rules/local_rules.xml

3.2 容器安全

Docker环境防护要点：

• 运行非root容器：

  FROM alpine
  RUN adduser -D appuser
  USER appuser

• 限制资源使用：

  docker run --memory=512m --cpus=1.0 --pids-limit=100 ...

• 定期扫描镜像：使用Clair或Trivy进行漏洞检测

  trivy image --severity CRITICAL,HIGH nginx:latest

3.3 日志分析与审计

构建集中式日志系统：

1. 配置rsyslog远程收集：

   # 服务器端配置
   $ModLoad imudp
   $UDPServerRun 514
   $template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
   *.* ?RemoteLogs

2. 使用ELK Stack分析日志：

• Filebeat收集日志
• Logstash解析处理
• Kibana可视化展示

1. 关键检测规则：

• 多次失败登录（failed password）
• 异常进程启动（/tmp/下可执行文件）
• 敏感文件变更（/etc/passwd、/etc/shadow）

四、应急响应体系

4.1 备份策略

实施3-2-1备份原则：

• 3份数据副本
• 2种存储介质（本地+云存储）
• 1份异地备份

使用BorgBackup进行增量备份：

borg init --encryption=repokey /backup/repo
borg create /backup/repo::{hostname}-{now:%Y-%m-%d} /etc /home

4.2 入侵取证

发现入侵后的处理流程：

1. 隔离受感染主机（断开网络）
2. 制作内存转储：

   dd if=/dev/mem of=/tmp/mem.dump bs=1M skip=0 count=1024

3. 收集关键证据：

• /var/log/auth.log（登录记录）
• last命令输出
• netstat -tulnp（活跃连接）
• ps auxf（进程树）

4.3 恢复演练

每季度进行恢复测试，验证：

• 备份数据的可恢复性
• 系统配置的完整性
• 业务连续性计划（BCP）的有效性

五、持续安全改进

建立安全基线管理制度：

1. 使用Lynis进行安全审计：

   lynis audit system --quick

2. 定期更新安全策略（至少每半年）
3. 实施安全培训计划（每年至少2次）
4. 关注CVE漏洞通报（订阅NVD邮件列表）

企业级安全防护需要构建”预防-检测-响应-恢复”的完整闭环。通过实施本文介绍的技术措施和管理流程，可将Linux系统的安全风险降低70%以上。建议结合自身业务特点，制定差异化的安全实施方案，并定期进行安全评估和策略优化。