1. 账户与登录安全
用户管理:添加日常操作所需的普通用户。
SSHD 配置 (/etc/ssh/sshd_config):
禁止 Root 登录:设置 PermitRootLogin no。
更改默认端口:修改 Port 为非默认的 22 端口。
禁用密码登录:设置 PasswordAuthentication no,强制使用 SSH 密钥对登录。
限制监听地址:(可选) 通过 ListenAddress 绑定到内网 IP,禁止外网直接 SSH。
登录IP限制:(可选,根据策略)
配置防火墙规则,仅允许特定的办公网出口 IP 访问 SSH 端口。
或要求必须通过 VPN 接入内网后才能访问服务器。
2. 系统与网络防护
防火墙:
启用 firewalld 或 iptables/nftables。
根据业务需求配置防火墙规则,遵循最小权限原则,仅开放必要的服务端口。
SELinux:开启并配置为 Enforcing 模式。
入侵检测 (Brute-Force):
安装并配置 fail2ban,用于自动阻止尝试暴力破解 SSH 或其他服务的 IP。
网络访问控制:
严格限制服务器对外网的访问权限。
仅为确实需要访问外网的服务器(如 yum 更新源、API 调用)开放策略,其他默认禁止。
命令历史:
修改 HISTSIZE 环境变量(例如在 /etc/profile 中),将其值改小(如 10),减少敏感信息在历史记录中的存留。
3. 应用层安全
Web 服务权限:
Web 服务器(如 Nginx、Apache)应使用低权限用户(如 www)启动和运行。
Web 站点的目录所有者和所属组应更改为 www 用户/组。
Web 应用防火墙 (WAF):
配置 nginx_waf (如 ModSecurity 或 Lua WAF 模块) 来过滤恶意请求,特别是防止 SQL 注入。
用户管理:添加日常操作所需的普通用户。
SSHD 配置 (/etc/ssh/sshd_config):
禁止 Root 登录:设置 PermitRootLogin no。
更改默认端口:修改 Port 为非默认的 22 端口。
禁用密码登录:设置 PasswordAuthentication no,强制使用 SSH 密钥对登录。
限制监听地址:(可选) 通过 ListenAddress 绑定到内网 IP,禁止外网直接 SSH。
登录IP限制:(可选,根据策略)
配置防火墙规则,仅允许特定的办公网出口 IP 访问 SSH 端口。
或要求必须通过 VPN 接入内网后才能访问服务器。
2. 系统与网络防护
防火墙:
启用 firewalld 或 iptables/nftables。
根据业务需求配置防火墙规则,遵循最小权限原则,仅开放必要的服务端口。
SELinux:开启并配置为 Enforcing 模式。
入侵检测 (Brute-Force):
安装并配置 fail2ban,用于自动阻止尝试暴力破解 SSH 或其他服务的 IP。
网络访问控制:
严格限制服务器对外网的访问权限。
仅为确实需要访问外网的服务器(如 yum 更新源、API 调用)开放策略,其他默认禁止。
命令历史:
修改 HISTSIZE 环境变量(例如在 /etc/profile 中),将其值改小(如 10),减少敏感信息在历史记录中的存留。
3. 应用层安全
Web 服务权限:
Web 服务器(如 Nginx、Apache)应使用低权限用户(如 www)启动和运行。
Web 站点的目录所有者和所属组应更改为 www 用户/组。
Web 应用防火墙 (WAF):
配置 nginx_waf (如 ModSecurity 或 Lua WAF 模块) 来过滤恶意请求,特别是防止 SQL 注入。
