Linux系统安全加固指南：从内核配置到用户权限控制

Linux系统安全加固指南：从内核配置到用户权限控制

在Linux系统安全管理中，内核安全与权限控制是基石。本文将结合实际案例，提供一套可复现的安全加固方案。

内核安全配置

首先，启用内核的LSM（Linux Security Modules）框架，通过配置CONFIG_SECURITY_DMESG_RESTRICT来限制普通用户查看内核消息。编辑/etc/default/grub添加：

GRUB_CMDLINE_LINUX="security=apparmor"

然后执行：

sudo update-grub && sudo reboot

禁用危险内核模块

通过黑名单机制禁用不必要的内核模块，防止恶意利用。创建配置文件：

sudo tee /etc/modprobe.d/blacklist.conf << EOF
blacklist nf_conntrack_ftp
blacklist nf_conntrack_tftp
EOF

用户权限控制

实施最小权限原则，限制root账户直接登录。编辑/etc/ssh/sshd_config：

PermitRootLogin no
PasswordAuthentication yes

同时创建管理员组并设置sudo权限：

sudo groupadd admins
sudo usermod -aG admins username

安全审计配置

启用系统日志审计，监控关键文件访问。添加审计规则：

sudo auditctl -w /etc/passwd -p rwxa -k passwd_change

通过以上配置，可显著提升系统安全性，建议根据实际环境调整相关参数。