Linux 安全加固的10个常用脚本

在IT运维领域，Linux系统的安全性是老生常谈的话题。随着网络攻击手段的不断升级，如何有效加固Linux系统，保障业务安全稳定运行，成为了运维人员必须掌握的技能。以下是10个最常用的Linux安全配置脚本，帮助运维人员提升系统的安全性。

1、用户账号管理脚本

定期删除不用的帐号和组，如lp、sync等，可使用以下脚本：

for i in lp sync shutdown halt news uucp operator games gopher
do
userdel $i
groupdel $i
done

这样能减少潜在的安全风险，防止未授权访问.

2、密码策略配置脚本

修改/etc/login.defs文件，设置密码最小长度为8等，增强口令安全性 ：

sed -i '/PASS_MIN_LEN/s/5/8/g' /etc/login.defs

3、限制Root远程登录脚本

编辑/etc/ssh/sshd_config，将PermitRootLogin改为no，禁止root帐号远程登录，降低被攻击风险.

4、禁用不必要服务脚本

关闭并禁用如telnet、ftp等不需要的网络服务和端口，减少暴露的攻击面 ：

services=("telnet" "ftp" "rsh" "rlogin" "rexec")
for service in "${services[@]}"; do
systemctl disable $service
systemctl stop $service
done

5、文件权限设置脚本

确保关键系统文件和目录的权限设置正确，如使用chattr命令锁定/etc/passwd等重要文件，防止其被修改 ：

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow

6、内核模块管理脚本

通过配置文件禁用不必要的内核模块，如：

echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf

减少潜在的攻击向量.

7、审计服务配置脚本

安装并配置auditd进行系统审计，记录所有重要的系统事件 ：

apt-get install -y auditd
systemctl enable auditd
systemctl start auditd

8、防火墙配置脚本

使用ufw等防火墙工具，设置默认策略为拒绝所有未明确允许的连接，控制网络流量 ：

ufw default deny incoming
ufw default allow outgoing
ufw enable

9、日志管理脚本

合理配置日志轮转，确保日志文件不会无限增长，同时保留重要的安全信息，可通过修改logrotate.conf文件等方式实现.

10、SSH加密配置脚本

修改/etc/ssh/sshd_config文件，配置SSH使用更安全的加密算法和认证方式，如：

sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

提高远程登录的安全性.

通过这些脚本，运维人员可以大大提升Linux系统的安全性，减少潜在的安全风险。然而，安全是一个持续的过程，需要不断地评估、更新和改进安全措施。