Linux服务器安全性实战：命令行防御指南

一、基础安全加固

1. 系统更新与补丁管理

# 更新软件包列表并升级所有已安装的软件包
sudo apt update && sudo apt upgrade -y  # Debian/Ubuntu
sudo yum update -y                      # CentOS/RHEL
sudo dnf upgrade -y                     # Fedora

# 设置自动安全更新
sudo apt install unattended-upgrades    # Debian/Ubuntu
sudo dpkg-reconfigure unattended-upgrades

2. 用户与权限管理

# 创建新用户并设置密码
sudo adduser newusername
sudo passwd newusername

# 禁用root SSH登录
sudo sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
sudo systemctl restart sshd

# 检查具有sudo权限的用户
sudo grep -Po '^sudo.+:\K.*$' /etc/group

# 设置密码策略
sudo apt install libpam-pwquality       # Debian/Ubuntu
sudo yum install libpwquality           # CentOS/RHEL

二、网络与防火墙配置

1. UFW防火墙管理

# 安装并启用UFW
sudo apt install ufw
sudo ufw enable

# 基本规则配置
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# 查看状态
sudo ufw status verbose

2. 高级防火墙配置(iptables/nftables)

# 查看当前iptables规则
sudo iptables -L -v -n

# 基本规则示例
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -j DROP

# 保存iptables规则
sudo apt install iptables-persistent    # Debian/Ubuntu
sudo netfilter-persistent save

三、入侵检测与监控

1. 日志分析与监控

# 查看认证日志
sudo tail -f /var/log/auth.log          # Debian/Ubuntu
sudo tail -f /var/log/secure            # CentOS/RHEL

# 查找失败的登录尝试
sudo grep "Failed password" /var/log/auth.log
sudo grep "Invalid user" /var/log/auth.log

# 实时监控系统日志
sudo journalctl -f

2. 安装配置Fail2Ban

# 安装Fail2Ban
sudo apt install fail2ban               # Debian/Ubuntu
sudo yum install fail2ban               # CentOS/RHEL

# 配置本地规则
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

# 常用配置修改
[sshd]
enabled = true
maxretry = 3
bantime = 1h

# 重启服务
sudo systemctl restart fail2ban
sudo systemctl enable fail2ban

# 查看状态
sudo fail2ban-client status
sudo fail2ban-client status sshd

四、文件系统安全

1. 文件权限检查与修复

# 查找全局可写文件
sudo find / -xdev -type f -perm -o=w

# 查找没有属主或属组的文件
sudo find / -xdev -nouser -o -nogroup

# 检查SUID/SGID文件
sudo find / -xdev -type f \( -perm -4000 -o -perm -2000 \) -print

# 修复常见目录权限
sudo chmod 750 /home/*
sudo chmod 700 /root

2. 完整性检查工具

# 安装AIDE(高级入侵检测环境)
sudo apt install aide                   # Debian/Ubuntu
sudo yum install aide                   # CentOS/RHEL

# 初始化数据库
sudo aideinit
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

# 手动检查
sudo aide --check

五、高级安全工具

1. Lynis系统审计

# 安装Lynis
sudo apt install lynis                  # Debian/Ubuntu
sudo yum install lynis                  # CentOS/RHEL (需EPEL)

# 运行系统审计
sudo lynis audit system

# 查看报告
sudo cat /var/log/lynis-report.dat

2. ClamAV病毒扫描

# 安装ClamAV
sudo apt install clamav clamav-daemon   # Debian/Ubuntu
sudo yum install clamav clamd           # CentOS/RHEL

# 更新病毒库
sudo freshclam

# 扫描系统
sudo clamscan -r --bell -i /

六、应急响应措施

1. 可疑进程检查

# 查看运行中的进程
ps auxf

# 查看网络连接
sudo netstat -tulnp
sudo ss -tulnp

# 查找异常进程
sudo lsof -i
sudo lsof -i :80

2. 后门检查

# 检查crontab中的可疑任务
sudo crontab -l
sudo ls /etc/cron.*/

# 检查/etc/passwd中的异常用户
sudo cat /etc/passwd | grep -v '/bin/false' | grep -v '/usr/sbin/nologin'

# 检查加载的内核模块
lsmod

最佳实践建议

1. 最小化安装原则：仅安装必要的软件包和服务
2. 定期审计：每月至少进行一次完整的安全审计
3. 备份策略：实施3-2-1备份规则(3份备份，2种介质，1份离线)
4. 密钥认证：使用SSH密钥替代密码认证
5. 服务隔离：不同服务运行在不同用户/组下
6. 监控告警：设置关键事件的实时告警机制

通过以上命令行工具和技术的组合使用，您可以显著提高Linux服务器的安全性，并建立有效的防御体系。