Linux minimal安全设置怎么做

以下是Linux minimal系统的安全设置要点：

1. 系统更新与补丁管理
   定期执行系统更新，安装最新安全补丁：

   # Debian/Ubuntu  
   sudo apt update && sudo apt upgrade -y  
   # CentOS/RHEL  
   sudo yum update -y  
   

2. 最小化软件安装
   仅安装必要组件，卸载非必需软件：

   sudo apt autoremove -y  # Debian/Ubuntu  
   sudo yum autoremove -y  # CentOS/RHEL  
   

3. 用户与权限管理

   • 创建普通用户并禁用root远程登录：

     sudo adduser <username>  
     sudo usermod -aG sudo <username>  
     sudo passwd -l root  
     

   • 强化密码策略（设置复杂密码、最小长度等）：
     编辑/etc/login.defs，调整PASS_MIN_LEN等参数。

4. 防火墙配置
   使用ufw或firewalld限制端口，仅开放必要服务：

   sudo ufw enable  
   sudo ufw allow ssh  # 自定义SSH端口（如2222）  
   sudo ufw deny in on eth0 from any to any port 22  # 禁用默认SSH端口（若需更改）  
   

5. 服务与进程管理
   禁用不必要的系统服务：

   sudo systemctl disable <service-name>  # 如cron、atd等  
   sudo systemctl stop <service-name>  
   

6. 安全增强工具

   • 启用SELinux或AppArmor（强制访问控制）：

     # SELinux（CentOS）  
     sudo setenforce 1  
     sudo sed -i 's/SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config  
     # AppArmor（Ubuntu）  
     sudo apt install apparmor  
     sudo aa-enforce /etc/apparmor.d/*  
     

   • 安装入侵检测工具（如AIDE）：

     sudo apt install aide  
     sudo aideinit  
     sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db  
     sudo aide --check  
     

7. 日志与审计
   配置rsyslog集中管理日志，启用日志轮转：

   sudo nano /etc/rsyslog.conf  # 配置远程日志服务器  
   sudo nano /etc/logrotate.conf  # 设置日志保留策略  
   

8. 其他安全措施

   • 禁用IPv6（若不需要）：

     sudo nano /etc/sysctl.conf  
     net.ipv6.conf.all.disable_ipv6=1  
     sudo sysctl -p  
     

   • 限制su命令使用（仅允许特定用户组）：
     编辑/etc/pam.d/su，添加auth required pam_wheel.so use_uid。

注意：具体操作需根据系统发行版（如CentOS/Ubuntu）调整，建议在测试环境验证配置后再应用到生产环境。