一、系统基础安全配置

1.1 最小化安装原则

Linux系统默认安装包含大量非必要软件包，存在潜在安全风险。建议采用最小化安装策略，仅安装核心组件（如base、coreutils、bash等）。以CentOS为例，安装时可指定@core组包：

yum groupinstall "Core" -y

安装完成后，使用rpm -qa | grep -E 'unused|unneeded'扫描并移除闲置软件包。

1.2 账户权限管理

1.2.1 禁用高风险账户

默认存在的root、admin等账户需严格管控。通过/etc/passwd文件检查是否存在空密码账户：

awk -F: '($2==""){print $1}' /etc/passwd

对发现的高风险账户，使用usermod -L username锁定或直接删除。

1.2.2 权限最小化分配

遵循”最小权限原则”，通过sudo实现细粒度权限控制。在/etc/sudoers中配置命令级授权：

# 允许dev用户组执行git命令
%dev ALL=(ALL) NOPASSWD: /usr/bin/git

使用visudo编辑配置时，系统会自动语法校验，避免配置错误导致权限失控。

1.3 文件系统保护

1.3.1 关键目录权限设置

对/etc、/boot、/var/log等敏感目录设置严格权限：

chmod 750 /etc/ssh/
chown root:root /etc/passwd /etc/shadow

使用chattr +i /etc/passwd防止关键文件被篡改（需root权限）。

1.3.2 挂载点安全配置

通过/etc/fstab设置nosuid、noexec等安全选项：

/dev/sdb1 /data ext4 defaults,nosuid,noexec 0 0

此配置可防止可执行文件在数据分区运行，降低恶意代码传播风险。

二、网络服务安全加固

2.1 SSH服务防护

2.1.1 协议版本升级

强制使用SSH2协议，在/etc/ssh/sshd_config中设置：

Protocol 2

禁用密码认证，改用公钥认证：

PasswordAuthentication no
PubkeyAuthentication yes

2.1.2 访问控制策略

通过TCP Wrappers限制SSH访问源：

echo "sshd: 192.168.1.0/24" > /etc/hosts.allow
echo "sshd: ALL" > /etc/hosts.deny

结合Fail2Ban实现自动封禁，配置示例：

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
maxretry = 3
bantime = 86400

2.2 防火墙规则优化

2.2.1 基础规则配置

使用iptables建立默认拒绝策略：

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

开放必要服务端口：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2.2.2 高级防护技术

实施连接状态跟踪：

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

配置速率限制防止DDoS攻击：

iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/second --limit-burst 200 -j ACCEPT

三、入侵检测与响应

3.1 实时监控系统

3.1.1 进程异常检测

使用ps auxf结合strace监控可疑进程：

ps auxf | grep -E 'suspicious_pattern'
strace -p <PID> -o /tmp/strace.log

配置auditd记录敏感文件访问：

auditctl -w /etc/passwd -p wa -k passwd_changes

3.1.2 网络流量分析

通过tcpdump捕获异常流量：

tcpdump -i eth0 port not 22 and port not 80 -w /tmp/capture.pcap

使用nmap扫描开放端口：

nmap -sS -p 1-65535 127.0.0.1

3.2 应急响应流程

3.2.1 隔离受感染主机

发现入侵后立即执行：

iptables -A INPUT -s <attacker_ip> -j DROP
service sshd stop

保留系统快照：

dd if=/dev/sda bs=1M | gzip > /backup/system_snapshot.img.gz

3.2.2 恶意软件清除

使用rkhunter进行rootkit检测：

rkhunter --checkall --report-warnings-only

通过clamav扫描文件系统：

freshclam  # 更新病毒库
clamscan -r /home --exclude-dir=.cache

四、持续安全维护

4.1 自动化安全更新

配置yum-cron实现自动更新：

[commands]
update_cmd = security
apply_updates = yes
random_sleep = 360

验证更新效果：

yum history info <transaction_id>

4.2 安全审计体系

4.2.1 日志集中管理

配置rsyslog实现日志远程存储：

*.* @192.168.1.100:514

使用logrotate管理日志轮转：

/var/log/secure {
    daily
    rotate 7
    compress
    missingok
    notifempty
}

4.2.2 合规性检查

执行CIS基准审计：

# 安装OpenSCAP扫描器
yum install openscap-scanner -y
# 执行扫描
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig \
--report /tmp/report.html /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

五、进阶防护技术

5.1 容器化安全

5.1.1 Docker安全配置

限制容器权限：

# Dockerfile示例
FROM alpine
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser

运行容器时添加安全选项：

docker run --cap-drop=ALL --read-only --security-opt no-new-privileges nginx

5.1.2 Kubernetes安全策略

实施Pod安全策略：

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted
spec:
  privileged: false
  allowPrivilegeEscalation: false
  hostNetwork: false
  runAsUser:
    rule: MustRunAsNonRoot

5.2 云环境安全

5.2.1 云主机元数据保护

限制元数据服务访问：

iptables -A INPUT -d 169.254.169.254 -j DROP

配置实例角色替代硬编码凭证：

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["s3:GetObject"],
    "Resource": ["arn:aws:s3:::my-bucket/*"]
  }]
}

5.2.2 混合云网络隔离

使用IPSec隧道加密跨云通信：

# 配置strongSwan
echo "conn cloud-tunnel
    left=<onprem_ip>
    right=<cloud_ip>
    authby=secret
    auto=start" > /etc/ipsec.conf

本指南通过33项具体措施，构建了涵盖系统基础、网络防护、入侵检测、持续维护和进阶技术的完整安全体系。实施过程中需注意：安全配置需与业务需求平衡，建议先在测试环境验证；定期进行渗透测试（建议每季度一次）；保持安全团队的技术更新，关注CVE漏洞通报。通过持续优化，可使Linux系统达到等保2.0三级以上安全要求，有效抵御90%以上的常见攻击手段。