Linux minimal安全设置怎么做

以下是Linux minimal系统的安全设置要点：

1. 系统更新与补丁管理
   定期执行系统更新，安装最新安全补丁：

   # Debian/Ubuntu  sudo apt update && sudo apt upgrade -y # CentOS/RHEL  sudo yum update -y 

2. 最小化软件安装
   仅安装必要组件，卸载非必需软件：

   sudo apt autoremove -y # Debian/Ubuntu  sudo yum autoremove -y # CentOS/RHEL  

3. 用户与权限管理

   • 创建普通用户并禁用root远程登录：

     sudo adduser <username> sudo usermod -aG sudo <username> sudo passwd -l root 

   • 强化密码策略（设置复杂密码、最小长度等）：
     编辑/etc/login.defs，调整PASS_MIN_LEN等参数。

4. 防火墙配置
   使用ufw或firewalld限制端口，仅开放必要服务：

   sudo ufw enable sudo ufw allow ssh # 自定义SSH端口（如2222）  sudo ufw deny in on eth0 from any to any port 22 # 禁用默认SSH端口（若需更改）  

5. 服务与进程管理
   禁用不必要的系统服务：

   sudo systemctl disable <service-name> # 如cron、atd等  sudo systemctl stop <service-name> 

6. 安全增强工具

   • 启用SELinux或AppArmor（强制访问控制）：

     # SELinux（CentOS）  sudo setenforce 1 sudo sed -i 's/SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config # AppArmor（Ubuntu）  sudo apt install apparmor sudo aa-enforce /etc/apparmor.d/* 

   • 安装入侵检测工具（如AIDE）：

     sudo apt install aide sudo aideinit sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db sudo aide --check 

7. 日志与审计
   配置rsyslog集中管理日志，启用日志轮转：

   sudo nano /etc/rsyslog.conf # 配置远程日志服务器  sudo nano /etc/logrotate.conf # 设置日志保留策略  

8. 其他安全措施

   • 禁用IPv6（若不需要）：

     sudo nano /etc/sysctl.conf net.ipv6.conf.all.disable_ipv6=1 sudo sysctl -p 

   • 限制su命令使用（仅允许特定用户组）：
     编辑/etc/pam.d/su，添加auth required pam_wheel.so use_uid。

注意：具体操作需根据系统发行版（如CentOS/Ubuntu）调整，建议在测试环境验证配置后再应用到生产环境。