Linux安全命令有哪些？常见安全命令使用方法是什么？

Linux 作为开源操作系统的代表，凭借其稳定性和灵活性被广泛应用于服务器、嵌入式设备及开发环境，系统的安全性始终是运维人员和开发者关注的重点，本文将围绕 Linux 安全的核心命令，从系统加固、权限管理、日志审计、网络防护及实时监控五个维度，详细介绍如何通过命令行工具提升系统安全性。

系统加固：基础安全配置

系统加固是安全防护的第一道防线,通过最小权限原则和核心配置优化，减少潜在攻击面。

用户与权限管理

• 创建受限用户：避免直接使用 root 用户操作，通过 useradd -m username 创建普通用户，并使用 passwd username 设置强密码。
• sudo 权限控制：编辑 /etc/sudoers 文件（使用 visudo 命令安全修改），为特定用户分配最小必要权限，

  username ALL=(ALL) /usr/bin/apt, /usr/bin/systemctl restart nginx

• 禁用闲置账户：通过 passwd -l username 锁定长期不用的账户，或使用 userdel -r username 彻底删除。

服务与端口管理

• 关闭不必要的服务：使用 systemctl list-unit-files --state=enabled 查看开机自启服务，通过 systemctl disable service_name 关闭非核心服务（如 telnet、rsh）。
• 端口扫描与限制：使用 netstat -tulnp 或 ss -tulnp 检查监听端口，结合 ufw 或 iptables 仅开放必要端口，启用防火墙并允许 SSH 访问：

  ufw enable
  ufw allow 22/tcp

权限与文件系统安全

文件系统是数据存储的核心,严格的权限控制和文件完整性检查可防止未授权访问和篡改。

文件权限设置

• 基本权限：使用 chmod 命令调整权限，如 chmod 644 file.txt（所有者读写，组和其他用户只读）。
• 特殊权限：通过 chmod +s file 设置 SUID 位，确保程序以所有者权限执行（需谨慎使用）。
• 访问控制列表（ACL）：对复杂权限需求，使用 setfacl -m u:username:rw file 细化控制。

文件完整性校验

• 使用 AIDE 工具：安装 aide 并初始化数据库，定期检测文件变更：

  aide --init
  cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
  aide --check

• 日志监控：通过 logwatch 或 lsattr 命令监控关键文件（如 /etc/passwd）的属性变化。

日志审计与入侵检测

日志是追溯安全事件的关键,通过集中化日志管理和实时分析，可及时发现异常行为。

日志配置与分析

• 启用 rsyslog：确保 /etc/rsyslog.conf 配置正确，将日志发送到远程服务器（如 *.* @192.168.1.100:514）。
• 日志轮转：配置 /etc/logrotate.conf 自动压缩和清理旧日志，避免磁盘空间耗尽。

入侵检测工具

• 使用 fail2ban：通过分析日志封禁恶意 IP，例如阻止暴力破解 SSH：

  apt install fail2ban
  cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
  systemctl restart fail2ban

• Tripwire 入侵检测：生成文件指纹数据库，定期比对文件变化：

  tripwire --init
  tripwire --check

网络防护与访问控制

网络层防护需结合防火墙、加密传输和协议限制，阻断非法访问和中间人攻击。

防火墙规则

• iptables 高级配置：禁止入站请求并允许出站响应，

  iptables -P INPUT DROP
  iptables -A INPUT -i lo -j ACCEPT
  iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

• 端口转发与 NAT：通过 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 实现端口转发。

网络服务安全

• SSH 安全强化：编辑 /etc/ssh/sshd_config，禁用 root 登录（PermitRootLogin no）和密码认证（PasswordAuthentication no），改用密钥认证。
• 网络流量监控：使用 tcpdump 捕获异常流量，

  tcpdump -i eth0 -w capture.pcap 'port 22'

实时监控与应急响应

通过实时监控工具和应急响应流程,可快速定位并处置安全威胁。

进程与资源监控

• top/htop：实时查看进程资源占用，识别异常进程（如挖矿程序）。
• ps 命令：结合 ps aux --forest 分析进程树，发现可疑子进程。

漏洞扫描与修复

• 使用 Lynis：定期执行系统安全审计：

  lynis audit system

• 自动更新：通过 unattended-upgrades 自动安装安全补丁，减少漏洞窗口期。

应急响应命令

• 内存取证：使用 volatility 工具分析内存镜像，检测恶意软件。
• 磁盘取证：通过 dd 命令创建磁盘镜像后，使用 foremost 恢复被删除文件。

Linux 安全是一个持续的过程，需结合命令行工具与自动化脚本，构建“纵深防御”体系，从系统初始化配置到日常运维监控，每一步的安全加固都至关重要，运维人员应定期审查安全策略，关注漏洞情报，并通过模拟攻击（如渗透测试）验证防护有效性，确保系统在动态威胁环境中保持稳定可靠。