Life-Is-Nothing/linux-hardening-checklist

# ✅ Linux 加固清单     ## 📋 清单 ### 🔐 1. 身份验证与访问 - [ ] 禁用 root SSH 登录 - [ ] 仅使用 SSH 密钥身份验证 - [ ] 配置会话超时 (TMOUT=300) - [ ] 启用 PAM 并配置强密码策略 - [ ] 安装并配置 `fail2ban` ### 🔥 2. 防火墙与网络 - [ ] 启用 UFW / iptables - [ ] 默认阻止所有传入端口 - [ ] 仅允许 SSH（自定义端口），必要时允许 HTTP/HTTPS - [ ] 如果未使用则禁用 IPv6 - [ ] 禁用不必要的网络服务（Avahi, Cups...） ### 📦 3. 系统与服务 - [ ] 更新系统 (`apt upgrade -y`) - [ ] 禁用不必要的服务 (`systemctl disable`) - [ ] 配置自动安全更新 - [ ] 删除不必要的软件包 - [ ] 限制 SUID/SGID 权限 ### 📁 4. 文件系统 - [ ] 将 `/tmp` 配置为 `noexec,nosuid` - [ ] 将 `/home`, `/var`, `/tmp` 划分为独立分区 - [ ] 检查 world-writable 文件 - [ ] 审计敏感文件的权限 (`/etc/passwd`, `/etc/shadow`) - [ ] 启用磁盘加密 (LUKS) ### 🔍 5. 审计与监控 - [ ] 安装并配置 `auditd` - [ ] 配置日志轮转 (`logrotate`) - [ ] 监控 `/var/log/auth.log` - [ ] 安装 `rkhunter` 或 `chkrootkit` - [ ] 配置 SSH 登录的邮件提醒 ### 🛡️ 6. Kernel 与 Sysctl - [ ] 禁用 IP forwarding - [ ] 启用 SYN cookies - [ ] 禁用 ICMP 重定向 - [ ] 启用 ASLR (`kernel.randomize_va_space = 2`) - [ ] 限制 `dmesg` 仅限 root 用户访问 ## 🚀 自动化脚本 ``` # 克隆 repo git clone https://github.com/ibramoha2/linux-hardening-checklist cd linux-hardening-checklist # 运行 durcissement 脚本 sudo bash scripts/harden.sh ``` ## 📁 结构 ``` linux-hardening-checklist/ ├── README.md ├── scripts/ │ ├── harden.sh # Script principal │ ├── audit.sh # Audit de sécurité │ └── check_suid.sh # Vérification SUID/SGID ├── configs/ │ ├── sshd_config # Config SSH sécurisée │ ├── sysctl.conf # Paramètres kernel │ └── fail2ban.conf # Config fail2ban └── docs/ └── GUIDE.md # Guide détaillé ``` ## ⚠️ 免责声明 这些脚本仅出于教育和合法系统管理目的提供。在生产环境使用之前，请务必在开发环境中进行测试。 **作者：** [@ibramoha2](https://github.com/ibramoha2) — 网络安全学生 | 尼日尔 🇳🇪

标签：osquery, 关系图谱, 内存分配, 基线检查, 安全合规, 应用安全, 数字取证, 系统加固, 网络代理, 自动化脚本, 运维安全