Linux 服务器加固
安全防护476 字预计 1 分钟阅读
梳理企业级 Linux 操作系统的主机安全配置,包括 SSH 限制、权限控制与网络防火墙。
引言
无论上层应用开发得多么安全,如果底层的 Linux 宿主机服务器被轻易攻破,一切防线都将瞬间土崩瓦解。操作系统作为最底层的基石,必须进行高强度的“安全加固(Hardening)”。
SSH 远程登录加固
SSH 是黑客暴力破解攻击的最主要切入点。必须对 /etc/ssh/sshd_config 进行如下加固配置:
禁用 Root 直接登录
绝不允许以超级管理员身份直接进行网络登录。应使用普通用户登录后再通过 sudo 提权:
PermitRootLogin no
彻底禁用密码登录
必须使用 SSH 密钥对(Public/Private Key Pair)进行公钥验证登录,并彻底关闭密码认证,防御暴力破解:
PasswordAuthentication no
更改默认端口
将默认的 22 端口修改为其他不显眼的高位端口(如 5322),可以过滤掉网络上 99% 的扫描脚本攻击。
权限控制与账户审计
最小权限原则
在给开发或运维分配账号时,禁止共享同一个账号。必须为每个人建立独立的普通账户,并限制其 sudo 的特权指令范围,避免由于某个个体的误操作或账号泄露导致整个服务器瘫痪。
定期进行安全更新
对于已发现的内核安全漏洞(如脏牛漏洞、Shellshock 等),必须及时安装系统补丁:
sudo apt update && sudo apt upgrade -y # Debian/Ubuntu
sudo yum update -y # RHEL/CentOS
网络层防护与防火墙
默认拒绝策略
使用 iptables 或 UFW 配置防火墙规则。应遵循“默认拒绝一切,仅允许特定”的原则。仅向外部网段暴露必要的服务端口(如 80、443),而对于内网服务或数据库端口(如 3306、6379),一律仅允许指定的内网 IP 段访问。