Linux操作系统安全配置规范培训

Linux操作系统安全配置规范培训CONTENTS目录01概述与安全模型02用户与账户安全管理03文件系统权限控制04系统服务与网络安全CONTENTS目录05系统加固与补丁管理06日志审计与监控07安全检查与维护01概述与安全模型Linux安全配置的重要性与适用范围Linux安全配置的核心价值Linux作为服务器主流操作系统，其安全配置直接影响系统抗攻击能力。通过账户权限管控、服务最小化、日志审计等措施，可有效降低70%以上的暴力破解、未授权访问等入侵风险，保障业务连续性与数据完整性。规范适用对象与场景本规范适用于中国电信使用Linux操作系统的各类设备，涵盖RedHat、SUSE、Fedora等主流企业级发行版，内核版本2.6及以上。可作为设备入网测试、安全验收、日常运维检查的标准化依据，覆盖全部安全等级场景。安全配置的合规性要求遵循最小权限原则、权限分离原则和定期审计原则，通过账户管理、服务加固、日志监控等配置，满足《网络安全法》《数据安全法》对关键信息基础设施的安全防护要求，为设备工程验收和运行维护明确安全基线。Linux安全模型与3A认证框架01Linux安全模型核心要素Linux安全模型基于资源分派机制，核心包含用户标识（UID/GID）、令牌token分配及基于主体（用户/进程）与客体（文件/目录）的访问控制，确保系统资源有序管理与安全隔离。023A认证框架定义与作用3A认证即Authentication（认证）、Authorization（授权）、Accounting（审计），是Linux系统访问控制的核心安全模型，通过验证身份、分配权限、记录行为，构建完整安全防护体系。03认证（Authentication）机制用户登录时通过用户名密码、SSH密钥等方式验证身份，成功后系统分配包含UID、GID的令牌，如/var/log/secure（CentOS）或/var/log/auth.log（Debian）记录登录认证日志。04授权（Authorization）控制策略基于最小权限原则，通过文件权限（UGO模型）、特殊权限（SUID/SGID/StickyBit）及sudo机制实现权限分配，确保用户仅获得完成任务所需最低权限，如root（UID0）拥有系统最高权限。05审计（Accounting）与日志管理通过auditd服务监控关键文件操作（如/etc/passwd修改），结合journalctl或logrotate工具管理日志，实现操作行为追溯与安全事件分析，满足事后审计与合规要求。安全配置基本原则与规范依据最小权限原则用户仅被授予完成其任务所必需的最低权限，避免使用root账户进行日常操作，通过sudo授权临时提升权限，定期审查并撤销不再需要的访问权限。权限分离与隔离原则职能相近的用户划分到不同组，降低单点故障风险；系统服务账户使用独立用户身份运行，避免权限扩散；重要目录默认权限设置为750（所有者可读写执行，所属组可读写，其他用户只读）。安全配置规范适用范围适用于中国电信使用Linux操作系统的设备，明确了安全配置的基本要求，适用于所有安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参照，以内核版本2.6及以上为例给出参照配置操作。规范核心目标通过系统化的安全配置指南，帮助管理员减少系统漏洞，防范恶意攻击，保障业务连续性，明确设备工程验收和运行维护环节的相关安全要求。02用户与账户安全管理用户账户创建与权限分配规范

01用户账户创建原则应依照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通讯使用的账号共享。所有新用户必须通过正规流程创建，避免直接使用root账户执行日常任务。

02用户账户创建操作指南使用命令#useraddusername创建账号，#passwdusername设置密码。创建用户时可指定主组、附加组、家目录和登录Shell，如#useradd-m-gdevelopers-Gwheel-s/bin/bashalice。

03权限分配基本原则遵循最小权限原则，为每个用户分配最小权限原则所需的账户，避免过度授权。根据用户职责分配权限，如管理员用户加入sudo组，普通用户仅授予完成其任务所必需的权限。

04用户组管理规范建立多组，将用户账号分配到相应的组。使用groupadd命令创建用户组，如#groupadddevelopers；使用usermod-aG命令将用户添加到组，如#usermod-aGdevelopersalice。密码策略与强度控制

密码复杂度要求设置密码最小长度为8位，包含大写字母、小写字母、数字和特殊符号中的至少三种，禁用过去5次使用过的密码。

密码有效期与更换设置密码最大使用天数为180天，过期前30天发出警告，推荐每月更换一次密码，以降低密码泄密风险。

登录失败锁定机制通过pam_faillock模块设置登录失败5次后锁定账户900秒（15分钟），防止暴力破解，编辑/etc/pam.d/system-auth文件配置。

空口令与弱口令检查定期执行#awk-F:'$2==""{print$1}'/etc/shadow检查空口令账号，使用pwck命令审计账号，确保无弱密码存在。冗余账户清理与锁定机制

冗余账户识别标准系统中与设备运行、维护等工作无关的账号，如测试账号、离职人员账号、默认非必要系统账号（如uucp、nuucp等）均属于冗余账户，应予以清理或锁定。

账户删除操作指南使用命令#userdelusername可直接删除指定用户；若需同时删除用户家目录，可使用#userdel-rusername命令。删除前需确认账户无重要数据关联。

账户锁定常用方法方法一：修改/etc/shadow文件，在用户名后添加*LK*；方法二：将/etc/passwd文件中的shell域设置为/bin/false；方法三：使用#passwd-lusername命令（仅root权限可用）。锁定账户可保留账户信息但禁止登录。

账户清理与锁定检测通过#cat/etc/passwd和#cat/etc/shadow命令检查账户状态；使用#awk-F:'$3==0{print}'/etc/passwd可排查是否存在非root的UID为0特权账户，发现后应立即处理。特权账户管理与sudo配置

严格限制root账户直接使用禁止直接使用root账户进行日常操作，通过sudo机制授权普通用户执行特权操作，减少误操作和权限滥用风险。

sudo权限最小化原则通过visudo命令编辑sudoers文件，为用户或用户组仅授予完成特定任务所必需的最小权限，如仅允许执行特定系统命令。

特权账户操作审计定期检查sudo日志（如/var/log/sudo.log或通过journalctl查看），监控特权命令执行情况，及时发现异常行为。

特权账户密码管理为特权账户设置高强度专用密码，并严格执行定期更换策略，建议每30天更换一次，且避免与其他账户密码重复。03文件系统权限控制基本权限模型与配置方法Linux权限模型核心要素Linux权限基于"主体-对象-操作"三元模型，主体包括所有者（u）、所属组（g）、其他用户（o）三类，操作权限分为读（r=4）、写（w=2）、执行（x=1）三级，通过数字（如755）或符号（如u+x）方式组合配置。文件与目录基础权限设置文件默认权限通过umask控制（如umask022时，文件默认644、目录755）。使用chmod命令修改权限，例如"chmod700/root"设置所有者全权访问，其他用户无权限；"chmodo-r/etc/passwd"移除其他用户读权限。权限归属与变更操作通过chown修改文件所有者和所属组，格式为"chown所有者:所属组文件路径"，如"chownapache:apache/var/www/html"。chgrp命令可单独修改所属组，如"chgrpdevelopersproject/"。最小权限原则实践规范系统敏感文件应设置严格权限，如/etc/shadow权限600（仅root读写），/etc/sudoers权限440。用户家目录默认权限700或750，禁止设置777权限；共享目录建议配置ACL或SGID位（chmodg+sdir）实现权限继承。特殊权限(SUID/SGID/粘滞位)管理

SUID权限：临时提升执行者权限当设置了SUID权限的可执行文件被运行时，程序将以文件所有者的权限运行，而非执行者自身权限。例如，/etc/shadow文件即通过此权限实现普通用户修改密码功能。配置命令：chmodu+s[可执行文件]，取消命令：chmodu-s[可执行文件]。

SGID权限：继承目录所属组权限SGID权限应用于目录时，新创建的文件自动继承父目录所属组；应用于可执行文件时，程序以所属组权限运行。常用于共享目录权限统一管理，配置命令：chmodg+s[目录/文件]，取消命令：chmodg-s[目录/文件]。

粘滞位(StickyBit)：保护共享目录文件粘滞位主要用于共享目录（如/tmp），设置后仅文件所有者或root可删除该目录下文件，防止误删他人数据。配置命令：chmod+t[目录]，典型应用场景为多用户临时文件目录权限控制。

特殊权限风险审计与清理定期审计系统特殊权限文件，使用命令：find/-perm-40002>/dev/null查找SUID文件，find/-perm-20002>/dev/null查找SGID文件。对非必要的特殊权限文件（如非系统默认程序）应及时清理，降低权限滥用风险。访问控制列表(ACL)配置实践ACL的功能与优势

访问控制列表(ACL)提供了比传统UGO权限模型更细粒度的权限控制，允许为特定用户或用户组单独设置文件/目录的访问权限，满足复杂场景下的权限管理需求。ACL基本配置命令

使用setfacl命令设置ACL权限，如"setfacl-mu:username:rwx/path/to/file"授予特定用户读写执行权限；getfacl命令查看ACL设置，如"getfacl/path/to/file"。文件与目录ACL设置示例

为文件设置ACL：setfacl-mg:developers:rwproject.conf；为目录设置ACL并默认继承：setfacl-md:u:audit:r-x/var/log/，确保新文件自动应用审计用户读执行权限。ACL权限的验证与维护

通过getfacl命令定期检查关键文件/目录的ACL设置，结合setfacl-x移除不再需要的ACL规则，确保权限最小化原则的有效落实。文件属性与磁盘配额管理Ext3文件系统安全属性设置Ext3文件系统支持特殊属性增强安全性，如j属性确保文件先写日志再写数据块，s属性使文件删除后块被零覆盖防止恢复，u属性保存恢复信息。使用chattr命令设置，如chattr+ssomefile；lsattr命令查看属性。磁盘配额配置与实施步骤磁盘配额用于限制用户磁盘空间占用，防止恶意耗光空间攻击（如cat/dev/zero>/tmp/bigfile）。实施需启用配额支持，编辑/etc/fstab添加usrquota、grpquota选项，执行quotacheck初始化，edquota设置用户配额，quotaon启用服务。文件系统挂载安全选项挂载文件系统时使用安全选项增强防护，如noexec禁止执行二进制文件，nosuid禁用setuid/gid位，nodev防止创建设备文件。编辑/etc/fstab配置，如/dev/sdb1/dataext4defaults,noexec,nosuid,nodev00，降低挂载风险。04系统服务与网络安全非必要服务禁用与管理

非必要服务识别原则遵循最小化安装原则，仅保留设备运行维护必需的服务，如FTP、telnet、rpcbind、NFS等默认开启的高危服务应优先评估禁用必要性。

服务状态检查方法使用ss-tuln或netstat-tuln命令查看系统当前监听端口及对应服务，通过systemctllist-unit-files--type=service筛选所有已安装服务状态。

服务禁用操作指南采用systemctldisable--now服务名命令永久禁用并立即停止非必要服务，如systemctldisable--nowvsftpd；Debian系可使用update-rc.d服务名remove移除开机启动项。

服务管理风险控制禁用服务前需确认业务依赖关系，避免影响核心功能；实施后通过chkconfig--list或systemctlis-enabled服务名验证禁用效果，并记录变更至配置管理文档。SSH服务安全加固配置

禁用root直接远程登录编辑/etc/ssh/sshd_config文件，设置PermitRootLoginno，禁止root用户通过SSH直接登录系统，降低特权账户被直接攻击的风险。

强制使用SSH协议版本2在sshd_config中确保Protocol2配置，禁用安全性较低的SSH协议版本1，防止协议漏洞被利用。

禁用密码认证，启用密钥认证设置PasswordAuthenticationno，开启PubkeyAuthenticationyes，使用SSH密钥对替代密码登录，大幅降低密码暴力破解风险。客户端通过ssh-keygen生成密钥对，将公钥上传至服务端~/.ssh/authorized_keys。

修改默认SSH端口将默认22端口修改为非标准端口（如2222），通过编辑sshd_config的Port参数实现，减少自动化扫描工具的首轮探测。

限制SSH访问源IP结合防火墙（如firewalld/iptables）配置，仅允许指定IP或IP段访问SSH服务端口，实现网络层访问控制，例如使用firewall-cmd--add-rich-rule='rulefamily=ipv4sourceaddress=/24portport=2222protocol=tcpaccept'。防火墙配置与规则优化默认策略设置：入站拒绝Linux防火墙应配置默认拒绝入站连接策略，仅开放业务必需端口。例如，RHEL/CentOS系统使用firewalld命令：firewall-cmd--set-default-zone=drop，Debian/Ubuntu系统使用ufw命令：ufwdefaultdenyincoming。必要端口精细化放行根据业务需求仅开放最小必要端口，如修改SSH默认端口为2222后执行：firewall-cmd--add-port=2222/tcp--permanent，随后重载规则：firewall-cmd--reload。避免开放FTP（21）、Telnet（23）等高危端口。规则持久化与状态监控配置规则需添加--permanent参数确保重启后生效，并定期使用ss-tuln检查端口监听状态，结合journalctl-ufirewalld/ufw查看防火墙日志，验证规则实际生效情况，及时发现未授权端口开放。内核参数安全优化网络层安全参数配置通过编辑/etc/sysctl.conf文件，设置net.ipv4.conf.all.accept_source_route=0禁止路由跟踪，启用net.ipv4.tcp_syncookies=1防范SYN攻击，强化网络传输安全性。文件系统安全参数设置配置tected_hardlinks=1和tected_symlinks=1，防止硬链接和符号链接攻击；启用kernel.randomize_va_space=2开启地址空间随机化，降低缓冲区溢出漏洞利用风险。内核参数生效与验证执行sysctl-p命令使配置立即生效，通过sysctl-a|grep[参数名]验证设置结果；建议将关键安全参数配置纳入系统初始化脚本，确保重启后自动应用。05系统加固与补丁管理最小化安装与组件精简

最小化安装原则安装系统时仅选择必要的系统组件和服务，避免预装非必需软件包，从源头减少攻击面。例如使用`yumgroupinstallMinimalInstall`或`debootstrap`创建最小化系统环境。

系统组件精简方法删除不必要的预装软件包，如FTP、telnet等非业务必需组件。可通过`yumautoremove`移除未使用的依赖，使用`rpm-qa|grepcategory`定期审计已安装软件。

服务禁用与优化禁用与设备运行、维护无关的服务，如rpcbind、ntpd（无需时间同步时）等。通过`systemctldisable--now服务名`或`chkconfig--level系统补丁更新策略与自动化

补丁更新频率与周期建立定期系统更新机制，建议每周至少检查并安装一次安全补丁，核心业务服务器可根据实际情况调整为每月一次，并在非业务高峰期进行。

自动化更新工具配置对于Debian系列系统，安装`unattended-upgrades`工具，编辑`/etc/apt/apt.conf.d/50unattended-upgrades`文件，设置自动安装安全补丁的选项；RHEL/CentOS系统可配置yum-cron实现自动更新。

补丁测试与回滚机制补丁更新前，在测试环境验证其兼容性和稳定性，确认无误后再应用到生产环境。建立补丁回滚预案，如使用`yumhistoryundo`或`apt-getremove`等命令卸载问题补丁。

内核安全补丁管理关注内核安全公告（如CVE更新），使用`kspp`等工具监控内核漏洞，对于高危内核漏洞，应优先安排更新，必要时重启系统以应用补丁。启动管理器安全配置GRUB/LILO密码设置要求系统引导管理器必须设置密码，防止未授权修改启动参数。检查方法：使用命令"cat/etc/grub.conf|greppassword"查看GRUB密码设置，或"cat/etc/lilo.conf|greppassword"查看LILO密码。GRUB配置操作指南编辑/etc/grub.conf文件，添加password字段设置密码，例如：password=123456，并在title段落下添加lock参数锁定引导菜单。配置后需重启系统使设置生效。密码保护实施风险设置启动管理器密码可能影响系统维护效率，如忘记密码将导致无法进入单用户模式等应急操作。建议采用高强度密码并妥善保管，同时建立密码找回预案。SELinux/AppArmor安全机制

SELinux简介与核心功能SELinux（Security-EnhancedLinux）是美国国家安全局开发的强制访问控制（MAC）安全机制，通过策略规则限制进程行为，实现更细粒度的访问控制，有效减少系统被攻击的风险。

AppArmor特点与应用场景AppArmor是另一种Linux安全模块，采用基于路径的访问控制策略，配置相对简单，适用于快速部署和管理特定应用程序的权限，如Web服务器、数据库等服务的安全防护。

SELinux与AppArmor的主要区别SELinux基于主体、客体的安全上下文进行控制，策略复杂但灵活性高；AppArmor基于程序路径定义权限，配置相对简单，性能开销较低，管理员可根据系统需求选择合适的安全机制。

启用与配置建议建议在Linux系统中启用SELinux或AppArmor中的至少一种。启用SELinux可使用setenforce1命令临时启用，配置文件位于/etc/selinux/；AppArmor可通过aa-enforce等命令管理，策略文件通常在/etc/apparmor.d/目录下。06日志审计与监控auditd审计服务配置

auditd服务启动与开机自启执行命令"systemctlenable--nowauditd"启动审计服务并设置开机自启动，确保系统启动时自动开启审计功能，为安全事件追溯提供基础。

关键文件监控规则配置在"/etc/audit/rules.d/critical.rules"文件中添加规则，如"-w/etc/passwd-pwa-kidentity"、"-w/etc/shadow-pwa-kidentity"、"-w/etc/sudoers-pwa-kaccess"，监控用户身份及权限相关关键文件的写入和属性修改操作。

日志保留周期设置编辑"/etc/logrotate.d/syslog"文件，加入"rotate12"（保留12个日志文件）、"maxage365"（日志文件最大保存365天）、"compress"（压缩日志文件）等配置，确保审计日志可追溯且合理占用磁盘空间。关键日志文件监控与分析

核心日志文件识别系统核心日志包括/var/log/secure（认证授权日志）、/var/log/auth.log（Debian系认证日志）、/var/log/messages（系统消息日志）及/var/log/sudo.log（特权操作日志），需重点监控用户登录、权限变更及系统异常事件。

实时监控工具应用使用tail-f/var/log/secure实时跟踪SSH登录尝试，结合grep"Failedpassword"快速定位暴力破解行为；通过journalctl-usshd--since"10mago"查看最近10分钟SSH服务日志，高效排查异常连接。

日志审计关键指标重点审计登录成功/失败次数、root权限使用记录、异常IP访问模式及文件权限变更（如/etc/passwd修改），可通过awk'{print$1,$3,$6}'/var/log/secure提取关键事件时间、IP及操作类型。

集中化日志管理方案配置rsyslog将日志转发至中央服务器，编辑/etc/rsyslog.conf添加"*.*@@central-log-server:514"；采用ELKStack（Elasticsearch+Logstash+Kibana）实现日志聚合、检索与可视化分析，提升安全事件追溯效率。日志轮转与备份策略

01日志轮转配置规范编辑/etc/logrotate.d/syslog文件，设置rotate12（保留12份）、maxage365（保存365天）、compress（压缩归档）参数，确保日志文件自动轮转，避免磁盘空间耗尽。

02关键配置文件备份方案使用rsync工具定期备份/etc/目录至/backup/configs/，执行命令"rsync-avz/etc//backup/configs/etc/"实现增量备份，每日凌晨1点通过crontab任务自动运行，保障配置文件可恢复性。

03日志与备份验证机制定期检查日志轮转状态："logrotate-d/etc/logrotate.conf"测试配置；验证备份有效性：通过"rsync-n"模拟恢复操作，确认备份文件完整且权限正确，每季度进行一次全量恢复测试。07安全检查与维护安全配置检测方法与工具账户安全检测执行#awk-F:'$2==""{print$1}'/etc/shadow检查空口令帐号；通过#awk-F:'$3==0{print$1}'/etc/passwd查看UID为0的特权账号；使用不同账号登录并执行常用操作验证权限分配有效性。权限配置核查运行#ls-l/path/to/file检查文件基础权限；利用#getfacl/path/to/file查看ACL配置；执行#find/-perm-4000-print2>/dev/null查找系统中存在的setuid特殊权限文件，排查权限滥用风险。服务状态审计使用#systemctllist-unit-files--type=service查看所有服务状态；通过#ss-tuln检查监听端口，识别如FTP(21)、Telnet(23)等非必要开放端口；执行#chkconfig--list（RHEL系）核查服务开机自启配置。日志与审计工具查看#/var/log/secure或/var/log/auth.log分析登录认证日志；启动auditd服务后，通过#auditctl-