Linux终端安全防护指南

践行最小权限原则：日常使用普通用户，通过 sudo 提权。使用 sudo 时，务必检查别名或 PATH 环境变量，防止执行了伪装的特权命令（如别名 alias sudo='sudo ' 的特殊情况）。

强化密码策略：编辑 /etc/pam.d/common-password （控制密码的强度，如长度、复杂度、历史）和 /etc/login.defs（定义用户账户的通用默认值，如UID/GID范围、密码有效期），利用 pam_pwquality.so（替代旧版 pam_cracklib.so）强制复杂度要求。

多因素认证 (MFA)：为 SSH 登录启用 Google Authenticator 或硬件 Token，在密码泄露时提供关键的第二层防护。

账户锁定与清理：在配置 pam_faillock 防暴力破解，并定期审查删除 games、ftp 等默认冗余账户及离职人员账户。

限制 su 切换：编辑 /etc/pam.d/su，仅允许 wheel 组成员切换。

建立持续更新机制：定期执行 apt update && apt upgrade 或 yum update。

验证来源与签名：仅从官方仓库安装软件，对下载的第三方软件包务必验证 GPG 签名，严禁使用 curl | bash 方式执行未经验证的远程脚本。

精简攻击面：移除 netcat、telnet、nmap 等可能被攻击者用于横向移动的冗余工具。

配置防火墙：使用 ufw 或 firewalld 遵循“默认拒绝”原则。

加固 SSH 服务：

使用 Fail2Ban：监控 /var/log/auth.log 并自动封禁攻击 IP。

关闭不必要的服务：使用 systemctl 精简启动项。

启用强制访问控制 (MAC)：优先使用 SELinux (Enforcing) 或 AppArmor。

严格文件权限与防篡改：

内核参数与资源限制：

审计命令历史（防篡改）：

终端输入输出监控：

入侵检测与完整性：使用 AIDE 或 Tripwire 监控 /bin、/usr/bin、/etc/ssh 等关键目录的文件变化。

PATH 环境变量净化：切勿将当前目录 . 或用户可写目录加入 PATH 变量的搜索路径前方，防止执行当前目录下的 ls 木马文件。定期检查 echo $PATH。

防范别名与函数劫持：定期运行 alias 检查是否有 alias ls='rm -rf /' 之类的恶意别名；检查 ~/.bashrc、~/.bash_aliases 等启动文件是否被篡改。

安全使用命令行参数：

后台作业安全：使用 nohup 或 & 运行敏感任务时，注意输出重定向，防止敏感信息写入 nohup.out 泄露。

避免命令行明文密码：严禁 mysql -p123456 这类操作，务必使用交互式输入或配置文件。

物理与会话锁定：

引导保护：为 GRUB 设置密码，防止攻击者进入单用户模式绕过认证。

建立响应流程：制定应急响应计划，确保在事件发生时能迅速、有效地采取行动。流程至少应包括：

1. 隔离：立即隔离受感染系统，防止横向移动。

2. 分析：分析日志、进程、网络连接，确定攻击来源、影响范围和方法。

3. 清除：根除后门、恶意软件等攻击痕迹。

4. 恢复：从可信备份中恢复系统和服务，并修补漏洞。

5. 复盘：事后复盘，完善防御体系。