别再问我Linux怎么防护了，这篇文章说透了！

大家好，今天跟各位聊聊Linux服务器安全加固这个话题。作为一名安全从业者，经常会被问到："我的Linux服务器该怎么做安全防护？"今天就给大家带来一份超实用的Linux安全加固指南，包你学会！🚀

一、系统更新先行

兄弟们，系统不更新，啥安全都白扯！第一步，咱们先把系统补丁更新做好：

sudo apt update && sudo apt upgrade -y

🔔小贴士：嫌每次更新麻烦？可以设置自动更新：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades

二、SSH安全加固

SSH就像咱们服务器的大门，不加固好就等于把家门随便放着。来看看怎么操作：

1. 禁止root直接登录

编辑这个文件：

sudo nano /etc/ssh/sshd_config

找到PermitRootLogin，改成：

PermitRootLogin no

2. 用密钥代替密码

这招特别好使！先在自己电脑上生成密钥：

ssh-keygen -t rsa -b 4096

然后把公钥放到服务器上：

ssh-copy-id username@server_ip

关闭密码登录：

PasswordAuthentication no

3. 换个隐蔽的端口

默认22端口太显眼了，换个其他端口，至少能躲掉一半的扫描：

Port 2222

记得每次改完都要重启SSH：

sudo systemctl restart sshd

三、防火墙配置

UFW是Ubuntu自带的防火墙，简单好用！

# 安装UFW
sudo apt install ufw

# 只开放需要的端口
sudo ufw allow 2222/tcp  # SSH端口
sudo ufw allow http
sudo ufw allow https

# 启动防火墙
sudo ufw enable

# 查看状态
sudo ufw status

四、用户权限管理

安全的第一条铁律：给最小权限！

1. 创建普通用户

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
0

2. 给sudo权限（按需分配）

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
1

3. 设置sudo超时

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
2

加上这行（5分钟后要重新输密码）：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
3

五、暴力破解防护

Fail2ban是个好东西，能自动封禁那些试图暴力破解的IP：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
4

默认配置就挺好，想调整可以改/etc/fail2ban/jail.local。

六、病毒防护

ClamAV是Linux下的免费杀毒软件，装上总没错：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
5

七、磁盘加密

特别是笔记本，丢了就麻烦了。建议在安装系统时就选择加密，已经装好的系统可以用LUKS加密重要目录。

八、双因素认证（2FA）

再安全的密码也可能被破解，加个双因素认证保险一点：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
6

九、日志监控

光有防护还不够，得知道谁来过：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
7

十、精简服务

没用的服务都关掉，能少一个攻击面是一个：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
8

写在最后

以上这些配置，都是我在实战中反复验证过的。但记住，安全不是一劳永逸的事情，需要持续关注和维护。建议大家把这些配置做成脚本，方便重复使用。

觉得文章有用的话，别忘了点个赞👍，关注我的公众号【HW安全之路】，更多安全干货等着你！