服务器安全配置自查清单(可打印版)

核心目标 :实现服务器基础安全闭环,验证防护配置有效性适用场景 :宝塔面板管理的云服务器(静态网站阶段)自查人自查日期


一、 防火墙端口防护(核心拦截层)

端口号 服务名称 配置要求 实际状态 是否达标
22 SSH 1. 来源 IP 仅允许本地信任 IP2. 策略:放行3. 方向:入站 开放 / 关闭 □ 是 □ 否
80 HTTP 1. 来源 IP:所有 IP(网站访问需求)2. 策略:放行 开放 □ 是 □ 否
443 HTTPS 1. 暂未配置 SSL:策略设为拒绝2. 配置 SSL 后:来源 IP 所有 IP,策略放行 关闭 / 开放 □ 是 □ 否
8888 宝塔面板 1. 来源 IP 仅允许本地信任 IP2. (可选)修改为非默认端口(如 5xxxx) 开放 / 端口修改 □ 是 □ 否
20/21 FTP 1. 暂未使用:策略设为拒绝2. 使用时:来源 IP 限制信任 IP 关闭 / 开放 □ 是 □ 否

验证方式 :Kali 执行 nmap -p 22,80,443,8888 服务器IP,非信任 IP 应显示 22/8888 端口 closed


二、 SSH 服务安全加固(身份认证层)

配置项 配置要求 实际状态 是否达标
密钥登录 1. 开启 SSH 密钥登录2. 已下载密钥文件并妥善保存 开启 / 关闭 □ 是 □ 否
密码登录 1. 禁用 SSH 密码登录2. Root 密码设为强密码(大小写 + 数字 + 特殊符号) 禁用 / 开启 □ 是 □ 否
登录权限 1. Root 密码登录设置:without-password(仅密钥登录)2. SSH 安全防护:开启 正确配置 / 错误配置 □ 是 □ 否

验证方式:非信任 IP 尝试 SSH 连接,应提示 "Connection refused"


三、 Fail2ban 主动防护(动态拦截层)

防护对象 配置要求 实际状态 是否达标
sshd 1. 最大重试次数:3 次2. 周期:300 秒(5 分钟)3. 禁止时间:86400 秒(1 天) 已创建规则 / 未创建 □ 是 □ 否
ftpd/mysql 1. 按需创建规则(同 sshd 配置)2. 未使用服务可暂不配置 已创建 / 未创建 □ 是 □ 否
IP 白名单 1. 添加本地信任 IP,避免误封2. 白名单优先级高于黑名单 已添加 / 未添加 □ 是 □ 否

验证方式 :Kali 执行 hydra -l root -P <(head -n 100 /usr/share/wordlists/rockyou.txt) -t 4 服务器IP ssh,3 次失败后 IP 应被封禁


四、 宝塔面板安全配置(管理入口层)

配置项 配置要求 实际状态 是否达标
面板密码 1. 强密码(大小写 + 数字 + 特殊符号)2. 定期更换 已设置 / 未设置 □ 是 □ 否
面板端口 1. (可选)修改为非默认端口(如 5xxxx)2. 防火墙同步限制来源 IP 默认端口 / 已修改 □ 是 □ 否
端口防扫描 1. 开启端口防扫描功能2. 自动封禁扫描 IP 开启 / 关闭 □ 是 □ 否

五、 整体安全验证(核心闭环)

  1. 防火墙拦截验证:非信任 IP 扫描 22/8888 端口,显示 closed ✔️/❌
  2. SSH 认证验证:非信任 IP 无法 SSH 连接,信任 IP 仅能密钥登录 ✔️/❌
  3. Fail2ban 防护验证:暴力破解 3 次后 IP 被封禁 ✔️/❌
  4. 服务最小化验证:未使用端口(如 20/21/443)已关闭 ✔️/❌

六、 后续优化方向(进阶安全)

  1. 配置 HTTPS:申请 SSL 证书,开放 443 端口,强制跳转 HTTPS
  2. 加固网站目录权限:设置网站根目录为 "只读",禁止执行权限
  3. 开启宝塔 Web 防火墙:拦截 SQL 注入、XSS 等 Web 攻击
  4. 定期备份:配置网站文件 + 数据库自动备份,存储到异地
相关推荐
SkyWalking中文站5 小时前
认识 Horizon UI · 5/17:3D 基础设施地图
运维·监控·自动化运维
SkyWalking中文站1 天前
认识 Horizon UI · 1/17:SkyWalking 新一代可观测性控制台
运维·前端·监控
雪梨酱QAQ1 天前
Kubeneters HA Cluster部署
运维
江华森1 天前
Spring Cloud 微服务全栈实战:从 Eureka 到 Docker Compose 一文贯通
运维
江华森1 天前
Matplotlib 数据绘图基础入门
运维
江华森1 天前
NumPy 数值计算基础入门
运维
Flynt4 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
乘云数字DATABUFF5 天前
5分钟部署开源APM Databuff:OpenTelemetry全链路追踪入门实战
运维·后端
荣--7 天前
一键部署不是为了省时间 —— 它是把"买来的 PaaS"变成"自己的平台"的拐点
运维·zabbix·工程化·一键部署·平台化·边界设计
江华森7 天前
动手实战学 Docker — 从零到集群编排完全指南
运维