Linux 安全加固：从攻击链反推，把每道门都锁上

前置阅读：Linux 性能分析：CPU/内存/IO/网络 、 进程管理：Linux 怎么看、怎么管、怎么杀。文章目录引言一、把攻击链拉出来二、攻击面收缩：减少能被打到的东西服务最小化内核网络参数加固三、SSH 加固：最常被打的门认证层：消灭密码登录协议层：选择安全的算法套件四、fail2ban：不只是 SSH 防暴力破解架构理解SSH jail 精细配置Nginx 反向代理场景验证 fail2ban 是否真的在工作五、SELinux：不是用来关掉的核心模型理解最常见的 SELinux 问题场景和排错常用 SELinux 布尔值（生产常见场景）六、权限最小化：不只是 chmod层次一：文件系统权限基线层次二：Linux Capabilities（精细化的 SUID 替代）层次三：systemd 服务沙箱层次四：sudo 权限精细化七、auditd：知道发生了什么关键审计规则八、PAM：认证策略的最后一道门九、加固效果综合验证快速自检清单整体防护层次总结小结引言大多数安全加固文章的结构是这样的：一份清单，逐条写"修改 SSH 端口、禁用 root 登录、安装 fail2ban"，然后告诉你怎么操作。读完感觉学了很多，遇到真实攻击还是一脸茫然，因为不知道每个配置背后防的是什么。这篇文章换一个视角：从攻击链出发，把攻击者的每一步行动对应到防守方的具体措施。每个措施不只给配置，还给验证方法——加固完怎么确认它真的有效，而不是配了个寂寞。Linux 安全加固攻击面收缩服务最小化端口管控内核参数身份与访问控制SSH 加固fail2ban 多场景PAM 策略sudo 精细化强制访问控制