很多同学第一次接触 Linux 服务器时,会觉得:
“我只是开个服务器跑个程序,应该不会有人来攻击我吧?”
但现实是:只要你的服务器连上公网,它就已经在“被扫描”了。
这一篇我们从最基础、也是最容易被忽视的部分讲起:账号安全与文件权限。
Linux系统的第一道安全防线就是账户和密码。
很多服务器被入侵,并不是因为漏洞多复杂,而是因为:
密码太简单
长期不更换
多个系统复用同一个密码
为了保障系统账户和密码的安全性,可以参考下面三个安全加固措施:
强密码规则(难破解)
密码定期更换(“过期机制”)
防止暴力登录(连续输错锁定)
root 用户是 Linux 系统中的超级用户,拥有几乎所有系统权限。
出于安全考虑,很多 Linux 服务器会禁止通过 SSH 直接登录 root 用户,而是先使用普通用户登录后再通过提权(如 sudo)获得管理员权限,以降低安全风险。
在 Linux 系统中,默认会预置一些系统账号,例如 games、lp、news、uucp 等。这些账号通常用于历史兼容或特定服务,大多数场景下普通用户几乎不会使用它们。
然而,这些账号如果未被妥善管理,仍然可能成为潜在的安全隐患。例如,攻击者可以尝试利用这些账号进行登录、权限探测或漏洞利用,从而增加系统被入侵的风险。
因此,在安全加固实践中,通常会对不必要的系统账号进行处理,例如锁定账号、禁止登录或直接删除,从而有效减少系统的攻击面。
从本质上来说,系统中保留的无关组件越少,潜在的攻击入口就越少,整体安全性也就越高。
Linux 的安全核心之一是:
“谁可以看 / 改 / 执行什么文件”
在 Linux 系统安全加固过程中,权限控制和执行环境的限制是重要环节。
对于关键系统文件,需要严格限制访问权限,仅允许管理员进行读写操作。例如密码文件(如 /etc/passwd、/etc/shadow)以及核心系统配置文件。
重点关注带有特殊权限位的程序,尤其是设置了 SUID 的可执行文件。这类程序在运行时可以临时获得其所属用户的权限,如果配置不当或存在漏洞,可能被普通用户利用实现权限提升。移除不必要或存在风险的权限,以避免潜在的提权路径。
系统中的临时目录(如 /tmp、/var/tmp)也是常见的攻击利用点。攻击者往往会在这些目录中存放恶意程序或构造利用环境。对这些目录实施额外的安全策略,例如限制可执行权限(noexec)、限制提权行为(nosuid)以及控制设备文件访问(nodev)等,从而降低其被滥用的风险。
从整体上看,这些措施的核心在于通过精细化的权限控制和执行环境约束,尽可能减少潜在攻击入口,避免为攻击者提供可利用的“落脚点”,从而提升系统的整体安全性。
账号与权限安全可以归纳为三个关键原则:密码要足够强壮,登录过程要严格控制,权限分配要精细最小化。这三者构成了系统安全的第一道防线。
文字 | 高佳宝
排版 | 高佳宝
审核 | 吴强俊 姚星昆 崔佳 王钊
听说转发 点赞 在看的2026都会好运哦