三、纵深防御体系构建
1. 系统层防护
bash
# 自动安全更新配置
sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades
# 内核防护加固
sudo vim /etc/sysctl.conf
# 添加以下参数:
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.tcp_syncookies=12. 应用层防护
bash
# Web服务器防护示例(Nginx)
sudo vim /etc/nginx/nginx.conf
# 添加安全头信息
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
# 安装ModSecurity
sudo apt install libapache2-mod-security2 -y
sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf3. 网络层防护
bash
# 云平台安全组示例(AWS CLI)
aws ec2 authorize-security-group-ingress \
--group-id sg-0123456789 \
--protocol tcp \
--port 22 \
--cidr 192.168.1.1/32
# 配置VPC网络ACL
aws ec2 create-network-acl-entry \
--network-acl-id acl-0123456789 \
--ingress \
--rule-number 100 \
--protocol tcp \
--port-range From=80,To=80 \
--cidr-block 0.0.0.0/0 \
--rule-action allow四、持续监控与审计
1. 实时入侵检测系统
bash
# 安装OSSEC HIDS
sudo wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
sudo apt install ossec-hids-server -y
# 配置告警规则
sudo vim /var/ossec/etc/rules/local_rules.xml
<rule id="100001" level="10">
<if_sid>5716</if_sid>
<match>root</match>
<description>Root user activity detected</description>
</rule>2. 日志集中分析
bash
# 使用ELK Stack收集日志
filebeat.prospectors:
- type: log
paths:
- /var/log/auth.log
- /var/log/nginx/access.log
output.elasticsearch:
hosts: ["elasticsearch:9200"]3. 自动化安全扫描
bash
# 使用Lynis进行系统审计
sudo apt install lynis -y
sudo lynis audit system
# ClamAV病毒扫描
sudo apt install clamav -y
freshclam
clamscan -r /var/www/html最佳实践建议:
- 定期进行安全演练(建议每月一次)
- 关键系统实施双因素认证
- 使用Terraform等工具实现基础设施即代码(IaC)
- 重要数据实施3-2-1备份策略