当前位置：首页 > backend >正文

linux 安全与防护,全方向讲解

backend 2025/9/7 8:33:21

如果攻击者能物理接触服务器，那么绕过所有软件安全措施只是时间问题。

机房安全：限制对服务器机房的物理访问（门禁、监控、日志）。
BIOS/UEFI 安全：
- 设置 BIOS/UEFI 密码，防止从外部设备（如U盘）启动。
- 禁用不必要的硬件接口（如USB端口）。
引导加载程序安全：
- GRUB 加密：为 GRUB 引导加载程序设置密码，防止用户进入单用户模式（无需密码即可获得 root 权限）或修改启动参数。
- 示例：在 /etc/grub.d/00_header 或 /etc/grub.d/40_custom 中设置 set superusers="root" 和 password_pbkdf2 root ...。

sudo 机制：
- 日常使用普通用户账户，仅在需要时使用 sudo 执行特权命令。
- 通过 visudo 命令编辑 /etc/sudoers 文件，精细控制 sudo 权限，而不是简单地将用户加入 wheel 组。遵循最小权限原则。
强密码策略：
- 修改 /etc/login.defs 设置密码最长有效期、最短长度等。
- 使用 /etc/security/pwquality.conf (或 pam_pwquality 模块) 强制密码复杂性（最小长度、包含数字、大小写等）。
禁止 root 远程登录：
- 编辑 /etc/ssh/sshd_config，设置 PermitRootLogin no。这是必须做的！
限制历史命令记录：设置 HISTFILESIZE 和 HISTSIZE 环境变量，避免密码等敏感信息被记录在 .bash_history 中。

服务管理：
- 停止并禁用所有不需要的服务：systemctl stop <service-name> && systemctl disable <service-name>。
- 使用 ss -tulnp 或 netstat -tulnp 查看所有监听端口，弄清楚每一个端口的作用。
防火墙（iptables/nftables/firewalld）：
- iptables/nftables： Linux 内核自带的 netfilter 防火墙，功能强大但配置复杂。
- firewalld（推荐）：更现代、动态的管理工具，简化了 zone 和 service 的管理。
- 策略：默认拒绝所有入站流量 (drop)，只放行明确允许的端口（如 22, 80, 443）。同样要限制不必要的出站流量。
- 示例 (firewalld)：
  bash
```
sudo firewall-cmd --permanent --add-service=ssh  # 放行SSH
sudo firewall-cmd --permanent --add-service=http # 放行HTTP
sudo firewall-cmd --permanent --add-service=https # 放行HTTPS
sudo firewall-cmd --permanent --remove-service=dhcpv6-client # 移除不需要的服务
sudo firewall-cmd --reload
```

SELinux (RedHat/CentOS/Fedora)：一种强制访问控制（MAC）系统，为进程和文件提供细粒度的安全策略。即使攻击者拿到了 root 权限，其行为也会受到 SELinux 策略的限制。
- 模式： enforcing (强制), permissive (仅记录不拦截), disabled (禁用)。
- 建议：在生产服务器上设置为 enforcing 模式。遇到权限问题时，首先查看 /var/log/audit/audit.log 日志，使用 audit2why 和 audit2allow 进行分析和解决，而不是直接禁用。
AppArmor (Debian/Ubuntu/SUSE)：另一种 MAC 系统，通过路径限制来配置策略，相对 SELinux 更易用。

定期更新：建立流程，定期使用 yum update, apt update && apt upgrade 安装安全补丁和软件更新。
自动化更新：对于不重要的测试环境，可配置 yum-cron 或 unattended-upgrades 进行自动安全更新。生产环境建议先测试再手动更新。
漏洞扫描：使用 lynis（一款优秀的开源安全审计工具）定期对系统进行安全扫描，并根据建议进行加固。

SSH 是进入服务器的门户，必须重点防护。

修改默认端口：编辑 /etc/ssh/sshd_config，将 Port 22 改为一个高端口（如 2345），减少自动化扫描攻击。
密钥认证： 完全禁用密码登录，强制使用 SSH 密钥对进行认证。
- PubkeyAuthentication yes
- PasswordAuthentication no
- PermitEmptyPasswords no
禁止其他用户：使用 AllowUsers 或 AllowGroups 指令明确指定允许通过 SSH 登录的用户。
使用 Fail2ban：一款非常有效的防暴力破解工具。它监控系统日志（如 /var/log/secure），当发现多次失败登录尝试后，会自动调用防火墙封锁源 IP 一段时间。
- 安装： yum install fail2ban 或 apt install fail2ban
- 配置：通常复制 /etc/fail2ban/jail.conf 为 jail.local 并进行修改。

以非特权用户运行服务：如 Nginx、MySQL 等，应创建专用低权限用户来运行，并在配置文件中指定。
加密通信：对所有网络服务使用 TLS/SSL 加密（如 HTTPS），避免明文传输敏感数据。使用 Let's Encrypt 获取免费证书。
安全响应头：在 Web 服务器（Nginx/Apache）上配置安全头，如：
- Strict-Transport-Security (HSTS)：强制浏览器使用 HTTPS 连接。
- X-Content-Type-Options: 防止 MIME 类型混淆攻击。
- X-Frame-Options: 防止点击劫持。

文件完整性检查 (FIM)：
- AIDE 或 Tripwire：这些工具会为系统文件创建一个数据库（哈希值、权限等），定期扫描并与数据库对比，一旦发现文件被篡改（如木马、后门）就发出警报。这是检测入侵的关键手段。
网络入侵检测系统 (NIDS)：
- Suricata 或 Zeek (Bro)：实时监控网络流量，基于规则库（如 Emerging Threats）检测恶意活动、扫描行为和漏洞利用尝试。

“日志告诉你发生了什么”，但海量的日志需要集中分析。

集中式日志：使用 Rsyslog 或 Syslog-ng 将所有服务器的日志发送到一个中央日志服务器，避免攻击者在本机擦除日志。
日志分析平台：使用 ELK Stack (Elasticsearch, Logstash, Kibana) 或 Graylog 对日志进行索引、搜索和可视化，以便快速发现安全事件（如多次登录失败、异常进程行为）。

auditd： Linux 内核的审计框架，用于记录系统调用和文件访问。
- 可以配置规则来监控重要文件的访问（如 /etc/passwd）、特权命令的执行（如 su, sudo）等。
- 日志存储在 /var/log/audit/audit.log，需配合 ausearch 和 aureport 工具使用。

这是最后一道防线，用于灾难恢复。

加密：
- 静态加密：使用 LUKS 对磁盘分区进行全盘加密，防止服务器丢失或硬盘被窃导致数据泄露。
- 传输加密：使用 scp, rsync over ssh, sftp 等工具安全地传输数据。
备份策略：
- 3-2-1 规则：至少 3 个副本，使用 2 种不同介质，其中 1 份放在异地。
- 定期测试恢复：备份的有效性必须通过定期恢复演练来验证！否则备份可能毫无意义。