系统安全加固配置：Linux服务器安全基线标准实施

系统安全加固配置：Linux服务器安全基线标准实施

最近在为公司内部服务器进行安全基线加固时，踩了不少坑，今天分享一下实际操作过程中的关键配置点。

1. 内核参数优化

首先，必须修改 /etc/sysctl.conf 文件，添加以下配置：

net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2

然后执行 sysctl -p 生效配置。这个步骤必须在生产环境部署前完成，否则容易被利用内核漏洞。

2. SSH服务强化

修改 /etc/ssh/sshd_config 文件：

PermitRootLogin no
PasswordAuthentication no
AllowUsers admin backup
UseDNS no

记得重启 sshd 服务并验证配置是否生效。

3. 系统审计规则设置

使用 auditctl 添加关键文件监控：

auditctl -w /etc/passwd -p rwxa -k passwd_change
auditctl -w /etc/shadow -p rwxa -k shadow_change

建议通过 /etc/audit/rules.d/audit.rules 配置持久化，避免重启丢失。

4. 禁用危险内核模块

在 /etc/modprobe.d/blacklist.conf 中添加：

blacklist usb-storage
blacklist dcc

通过 lsmod | grep -E 'usb-storage|dcc' 验证是否已卸载。

以上操作必须结合具体业务场景调整，建议先在测试环境验证，避免影响线上服务。