Linux系统安全基线配置指南与关键步骤详解
开门见山,直接说核心:Linux系统的安全基线,从来就不是一个可以“一键执行”的加固脚本。它更像是一套围绕账户、认证、服务和日志这四个核心维度,持续进行校准和优化的动态过程。这里有个关键认知:配置错误,有时比完全不配置更危险,尤其是在pam_cracklib.so的参数和sshd_config的逻辑顺序上,稍有不慎就可能把自己锁在门外。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
如何检查系统中是否存在UID=0的非root用户
这是最基础,但也最容易被忽略的风险点。在Linux系统中,UID(用户ID)才是权限的“身份证”。只要UID为0,无论这个账户叫admin还是test,它都拥有和root完全等同的至高权限。排查方法其实很简单,一条命令就能现形:
awk -F: '($3 == 0) { print $1 }' /etc/passwd
如果输出结果里除了root还出现了其他用户名,那就必须立刻处理,别抱侥幸心理。通常的应对思路是这样的:
- 首先确认这个账号是否为业务所必需。说实话,绝大多数情况下都不是。如果不是,最干净利落的做法就是直接删除:
userdel -r。 - 如果确实需要保留这个账号(比如某些老旧应用有硬性依赖),那至少要把它的UID改掉:
usermod -u 1001。改完后,记得手动检查一下/etc/passwd文件,确保对应行的UID字段已经更新,同时注意别改乱了其他字段的顺序。 - 最后,一定要做验证。执行
id确认UID已变更,再试试su -,确保无法通过它获得root shell。
为什么pam_cracklib.so配置错误会导致密码设置失败
这个模块的配置堪称“陷阱之王”,很多文档照搬过来的参数,实际效果可能南辕北辙。举个例子,minlen=8并不等于“密码至少8位”——在默认规则下,它实际要求的是minlen-1,也就是7位。而dcredit=-1才真正表示“至少包含1个数字”。
最常见的错误就是漏掉了那个负号,写成dcredit=1。这下意思全反了,变成了“最多允许1个数字”,反而让密码策略变得更弱。
对于生产环境,一个兼顾安全与兼容性(适用于RHEL/CentOS 7+及Debian/Ubuntu)的最小可行配置可以参考下面这行:
password requisite pam_cracklib.so \ retry=3 minlen=13 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=3
这里有三个要点需要特别注意:
- 把
minlen设为13,才能确保实际生效的密码长度不低于12位(因为默认会减1)。 - 所有
credit参数(dcredit,ucredit,lcredit,ocredit)必须带负号,正数的含义是完全相反的。 - 这行配置必须放在
/etc/pam.d/system-auth文件中password [success=1 default=ignore]那一段之前,否则会被直接跳过,等于白配。
PermitRootLogin no之后普通用户连不上怎么办
很多朋友在修改/etc/ssh/sshd_config,将PermitRootLogin设为no并重启sshd服务后,发现自己也被拒之门外了。这通常不是配置本身失败了,而是前置条件没准备好。
在关闭root的SSH登录之前,必须确保以下几点:
- 至少存在一个可用的普通用户账户。
- 该用户的
~/.ssh/authorized_keys文件中已经放置了你的公钥(优先使用密钥登录,远比密码安全)。 - 检查
/etc/shadow,确认该用户的密码哈希是有效的(不是以*或!开头),否则即使PasswordAuthentication yes,你也无法用密码登录。 - 确认
sshd_config中没有AllowUsers或AllowGroups等配置意外屏蔽了你准备使用的这个普通用户(比如只写了AllowUsers root)。 - 重启服务前,务必先用
sshd -t命令测试一下配置文件语法,避免因配置错误导致服务直接无法启动。
如果真的不幸被锁在外面,又没有控制台权限怎么办?这时候只能依赖云服务商提供的VNC功能,或者物理服务器的本地控制台(Console)强行登录进去,临时注释掉PermitRootLogin那行,重启sshd服务后再做调整。
历史命令时间戳和最大条数要一起设置才有效
只设置HISTSIZE=100000是没用的——因为默认HISTTIMEFORMAT为空,所有命令在history里都会挤在一起,显示同一个时间。反过来,只设置HISTTIMEFORMAT也不行——如果HISTSIZE太小(默认1000条),早期的、带有精确时间的记录很快就会被新命令挤掉。
正确的做法是在/etc/profile文件末尾统一添加以下三行:
HISTSIZE=100000
HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S "
export HISTSIZE HISTTIMEFORMAT
添加后,执行source /etc/profile让配置在当前shell生效,然后随便运行一条命令,再用history | tail -3查看,确认时间戳已经正确显示。需要注意的是,这个设置对已经登录的会话不会立即生效,需要新开一个终端窗口才能看到效果。
相关攻略
cpustat是一款深入诊断CPU性能的命令行工具。它细化展示各核心使用率,区分自愿与非自愿上下文切换以揭示调度压力,并监控中断频率和CPU温度。工具支持多核负载分析与历史数据对比,帮助精准定位资源争抢、硬件中断或温度降频等性能瓶颈根源。
当服务器响应变慢或应用程序出现性能瓶颈时,CPU使用率往往是首要排查的指标。此时,一款高效精准的命令行监控工具至关重要。本文将详细介绍cpustat——这款集成于sysstat工具包中的专业CPU性能分析利器,帮助您深入洞察处理器的工作状态与负载详情。 第一步:安装与部署方法 在使用cpustat进
Overlay网络通过虚拟化技术在物理网络上构建虚拟层,实现资源高效利用与智能调度。它结合流量管理、服务编排和弹性伸缩,动态优化资源分配以应对业务波动,同时保障隔离安全,从而提升硬件使用率、降低成本,为业务提供灵活可靠的基础支撑。
nohup命令可在Linux中让PHP脚本在后台持续运行,不受终端关闭影响。操作时需先进入脚本目录,使用“nohupphp脚本名&”启动,输出默认保存至nohup out文件。可通过重定向自定义日志路径。启动后系统会显示进程ID,之后可断开连接。后续可用tail查看日志,或用kill命令终止进程。该工具适合处理耗时任务,是轻量级后台运行的常用方案。
nohup命令使Linux任务在用户退出后持续运行。基础用法是nohupcommand&,将任务放入后台。通过重定向如nohupcommand>output log2>&1&,可自定义日志文件记录输出。运行脚本时用法类似。结合screen或tmux等工具,还能在需要时重新接管任务会话,实现灵活管理。
热门专题
热门推荐
5月9日,欧洲央&行管委、西班牙央&行行长埃斯克里瓦的一席话,在金融科技圈激起了不小的波澜。他直言不讳地指出,人工智能的迅猛发展,正在迫使我们重新审视金融基础设施和网络安全的“压舱石”是否足够稳固。这番话并非危言耸听,而是点出了一个正在发生的现实:我们正身处一场前所未有的技术变革浪潮之中,它不仅重塑
五月初数据显示,MicroStrategy增持5 6万枚比特币,耗资约33 6亿美元,占同期上市公司总购量的28倍。此举既支撑市场,也彰显其对比特币长期价值的信心,同时引发对其杠杆风险的讨论。公司行为被视为风向标,或推动更多机构配置比特币。
Linux系统安全基线是围绕账户、认证、服务和日志的动态校准过程。配置错误可能比不配置更危险。需排查UID为0的非root账户并妥善处理。pam_cracklib so配置中参数含义易误解,如minlen和带负号的credit参数,且配置位置必须正确。关闭SSH的root登录前,需确保普通用户具备密钥登录等条件。设置命令历史时,HISTSIZE与HISTTI
网盘同步时产生的冲突文件会占用双倍空间并扰乱同步。可通过访达搜索手动删除,或使用终端命令批量清理。也可利用Spotlight全局筛选,或重置客户端同步数据库以根治问题。部分网盘还提供图形化管理面板,便于用户对比并选择保留版本。
贝莱德计划推出两只代币化货币市场基金,一只将现有国债基金在以太坊上代币化,另一只为面向加密投资者的新产品。此举将传统资产引入区块链,提升可编程性,主要面向合格机构投资者,标志着代币化基金走向规模化,可能促进传统金融与加密生态融合。