Linux服务器安全加固步骤指南（零基础）

引言

Linux服务器安全加固是每个运维人员的必修课。对于零基础用户来说，掌握基本的安全操作能有效防止入侵。本文从账户、网络、系统配置等方面提供详细步骤，帮助您快速上手。

1. 账户安全设置

1.1 禁用root直接登录

使用普通用户登录，通过sudo提权。修改SSH配置文件：

sudo vi /etc/ssh/sshd_config

找到 PermitRootLogin 将值改为 no。重启SSH服务：

sudo systemctl restart sshd

1.2 创建普通用户并赋予sudo权限

sudo adduser username
sudo usermod -aG sudo username

1.3 密码策略

安装密码策略工具：

sudo apt install libpam-pwquality

编辑 /etc/pam.d/common-password 添加规则：

password requisite pam_pwquality.so retry=3 minlen=12 difok=3

2. SSH安全加固

2.1 更改默认端口

编辑 /etc/ssh/sshd_config，修改 Port 2222（避免使用常见端口）。

2.2 使用密钥认证

生成密钥对：

ssh-keygen -t rsa -b 4096

将公钥复制到服务器：

ssh-copy-id username@server_ip

禁用密码认证：在 sshd_config 中设置 PasswordAuthentication no。

2.3 限制SSH登录用户

在 sshd_config 末尾添加 AllowUsers username。

3. 防火墙配置（UFW）

3.1 启用UFW

sudo ufw enable

3.2 设置默认策略

sudo ufw default deny incoming
sudo ufw default allow outgoing

3.3 开放必要端口

sudo ufw allow 2222/tcp   # SSH新端口
sudo ufw allow 80/tcp     # HTTP
sudo ufw allow 443/tcp    # HTTPS

4. 系统更新与补丁

sudo apt update && sudo apt upgrade -y

设置自动更新：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

5. 日志与监控

5.1 启用日志审计

sudo apt install auditd
sudo systemctl enable auditd
sudo systemctl start auditd

5.2 配置日志轮转

编辑 /etc/logrotate.conf 确保日志定期压缩清理。

6. 其他安全措施

6.1 限制sudo权限

编辑 /etc/sudoers，为特定用户设置命令限制。

6.2 禁用不必要的服务

sudo systemctl list-unit-files | grep enabled
sudo systemctl disable service_name

6.3 安装入侵检测工具

例如安装 fail2ban 防止暴力破解：

sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

结语

以上步骤是Linux服务器安全加固的基础。零基础用户可以逐步操作，每完成一步都应测试服务是否正常。建议定期复查安全配置，关注安全公告，持续提升系统安全性。