Jeremy-Burgos/linux

# Linux 隐私与加固工具包 一个实用的、专注于 Debian/Ubuntu 的加固仓库，面向希望在不盲目自动化的情况下获得可见性、验证能力和健全操作安全性的人群。 本项目专为以下人群设计： - 注重隐私的 Linux 用户 - 防御者和研究人员 - 希望拥有更纯净基线的管理员 - 偏好显式控制而非默认配置的用户 本仓库不是一个一键式加固脚本。 它是一套结构化的指南、检查清单和示例脚本，用于构建更严密的 Debian 或 Ubuntu 工作站或小型服务器基线。 ## 范围 本仓库涵盖： - 核心 Linux 命令行基础知识 - 进程检查与过滤 - 文件和目录处理 - 基于 APT 的包管理 - 内核和模块检查 - 使用 UFW 进行防火墙配置 - 使用 Lynis 进行审计 - 文件系统加固 - 服务最小化 - SSH 加固 - 使用 `sysctl.d` 进行内核调优 - AppArmor 和 SELinux 上下文 - 针对外露服务的 Fail2ban - 基于角色的工作站和服务器基线 主要目标： - Debian - Ubuntu - 使用 APT 和 systemd 的类 Debian 和类 Ubuntu 系统 本仓库并非为每个 Linux 发行版编写的通用指南。 ## 理念 核心假设： 1. Linux 默认配置并非自动足够安全。 2. 启用的服务越少，意味着错误越少，攻击路径也越少。 3. 可见性与阻断同等重要。 4. 验证比清单式加固更重要。 5. 工作站和面向互联网的服务器不应采用相同的方式进行加固。 ## 快速开始 克隆仓库： ``` git clone https://github.com/Jeremy-Burgos/linux.git cd linux ``` 从这里开始： ``` less docs/00-overview.md ``` 然后阅读： ``` QUICKSTART.md THREAT_MODEL.md TESTED_ON.md ``` ## 建议阅读顺序 对于大多数用户： 1. `QUICKSTART.md` 2. `THREAT_MODEL.md` 3. `docs/06-firewall-and-networking.md` 4. `docs/09-services-and-boot-hardening.md` 5. `docs/10-ssh-and-authentication.md` 6. `docs/11-kernel-tuning.md` ## 脚本 示例脚本位于： ``` scripts/ ``` 它们是示例，不是盲目的加固包装器。 在运行它们之前请先阅读。 ## 免责声明 本仓库中的某些控制措施可能会： * 破坏网络连接 * 禁用您仍需要的服务 * 将您锁定在远程系统之外 * 干扰特定角色的工作负载 在将其应用于生产环境、远程主机或主要机器之前，请测试所有内容。 ## 关于 一个实用的、符合 CIS 标准的 Linux 加固工具包，适用于 Debian 和 Ubuntu 系统，专注于可见性、最小权限、防火墙、强制访问控制、审计以及在不盲目自动化的情况下防御日常工作站和服务器。

标签：Anthropic, AppArmor, APT包管理, CIS基准, Cutter, Debian, Fail2ban, HTTP工具, Linux加固, Lynis, PE 加载器, SELinux, SSH加固, Sysctl, Systemd, UFW, 人工智能安全, 关系图谱, 内核调优, 动态API解析, 合规性, 基线检查, 子域名枚举, 安全检查表, 审计, 工作站安全, 强制访问控制, 提示词模板, 无线安全, 最小权限, 服务器监控, 端点安全, 系统安全, 系统管理员, 网络安全, 网络安全审计, 补丁管理, 防御工具包, 防火墙配置, 隐私保护