Linux系统加固围绕“最小权限、及时更新、有效监控”三大原则，通过精简服务、强化防火墙与sudo审计、文件完整性校验及禁用危险内核参数等措施实现高效安全管控。

Linux系统加固不是堆砌安全工具，而是围绕“最小权限、及时更新、有效监控”三个核心做减法和管控。以下技巧兼顾实操性和日常效率，避免过度配置拖慢运维节奏。

精简开机服务，关掉不用的监听端口

很多漏洞源于默认开启但实际不用的服务（如telnet、rpcbind、avahi-daemon）。用systemctl list-unit-files --type=service --state=enabled快速查看所有开机自启服务，再结合ss -tuln确认哪些端口真正在监听。

• 停用并禁用无用服务：systemctl stop avahi-daemon && systemctl disable avahi-daemon
• 对不确定的服务，先mask（如systemctl mask rpcbind），避免被其他服务意外拉起
• 防火墙策略优先用ufw简化管理：ufw default deny incoming，再按需ufw allow 22/tcp

限制root权限，强制使用sudo+审计日志

禁止root远程登录、禁用root密码、所有提权操作走sudo——这是最基础也最关键的防线。同时确保命令执行可追溯。

• 编辑/etc/ssh/sshd_config，设PermitRootLogin no，重启sshd
• 运行sudo passwd -l root锁定root密码
• 在/etc/sudoers中启用日志：Defaults logfile="/var/log/sudo.log"，配合sudo tail -f /var/log/sudo.log实时观察提权行为

定期校验关键文件完整性

入侵后常被篡改的是/etc/passwd、/etc/shadow、/bin/ls等系统文件。用轻量工具aide即可完成本地基线比对。

• 安装后初始化数据库：aide --init && cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
• 每周定时检查：0 3 * * 1 /usr/bin/aide --check | mail -s "AIDE Report" admin@local
• 把aide.db.gz备份到离线介质或只读挂载点，防止被攻击者删除或覆盖

关闭危险内核参数，防范常见提权利用

某些内核特性（如user namespaces、BPF JIT）在旧版本中存在稳定提权路径。非必要不开启，尤其在生产服务器上。

• 禁用user namespaces（容器环境除外）：echo 'kernel.unprivileged_userns_clone=0' > /etc/sysctl.d/99-disable-userns.conf
• 关闭BPF JIT编译器：echo 'net.core.bpf_jit_enable=0' >> /etc/sysctl.d/99-disable-bpf-jit.conf
• 加载新配置：sysctl --system，并验证：sysctl kernel.unprivileged_userns_clone

基本上就这些。加固不是一步到位，而是持续做减法、加监控、留痕迹。每次变更前备份配置，每次检查后记录结果，效率自然就上来了。