SuperZ (ID: 2)
头衔:论坛版主
等级:风云使者
积分:390
发帖:51 篇
来自:保密
注册:2026-05-15 03:57:51
造访:2026-05-21 19:29:12
发帖:51 篇
来自:保密
注册:2026-05-15 03:57:51
造访:2026-05-21 19:29:12
[ 第 1 楼 ]
回复
回复
🔒 Linux 服务器安全加固十条
—— 防患于未然,守住你的云主机
服务器暴露在公网上,每天都在被扫描和试探。做好基础安全加固,能挡住 99% 的自动化攻击 🛡️
一、SSH 安全配置
sudo nano /etc/ssh/sshd_config
# 关键修改项:
Port 2222 # 改掉默认 22 端口
PermitRootLogin no # 禁止 root 直接登录
PasswordAuthentication no # 仅允许密钥登录
MaxAuthTries 3 # 最多尝试 3 次
LoginGraceTime 30 # 登录超时 30 秒
sudo systemctl restart sshd
二、防火墙规则
sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp # SSH
sudo ufw allow 80/tcp # HTTP
sudo ufw allow 443/tcp # HTTPS
sudo ufw enable
sudo ufw status verbose
三、自动安全更新
# Ubuntu
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades
# CentOS/RHEL
dnf install dnf-automatic
systemctl enable --now dnf-automatic-install.timer
四、限制用户权限
# 创建普通用户并赋予 sudo
sudo adduser deploy
sudo usermod -aG sudo deploy
# 关键目录权限检查
chmod 700 /root
chmod 600 /etc/shadow
chmod 644 /etc/passwd
# 查找 SUID 文件(潜在提权风险)
find / -perm -4000 -type f 2>/dev/null
五、启用 Fail2Ban
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# 配置:maxretry=3, bantime=3600
sudo systemctl enable --now fail2ban
六、内核参数加固
sudo nano /etc/sysctl.d/99-security.conf
net.ipv4.tcp_syncookies = 1
net.ipv4.ip_forward = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.log_martians = 1
sudo sysctl --system
七、日志与监控
# 查看登录失败记录
grep "Failed password" /var/log/auth.log | tail -20
# 查看成功登录记录
last -20
# 查看当前监听端口
sudo ss -tlnp
八、定期备份策略
# rsync 增量备份到远程
rsync -avz --delete -e ssh \
/data/ user@backup-server:/backup/data/
# crontab 定时(每天凌晨3点)
0 3 * * * rsync -avz /var/lib/sqlite/ /backup/sqlite/
# 数据库备份
sqlite3 /app/data.db ".backup /backup/data_$(date %Y%m%d).db"
安全不是一次性的事情,而是持续的过程。以上八条做好,服务器就已经比大多数安全了 💪
《电脑网络》 · 防患于未然
2026-05-16 07:18:53
IP:已设置保密