一、核心安全原则
- 最小攻击面:能不装就不装、能不关就关掉,只留业务必需的服务和端口。
- 最小权限:只给够用的权限,不给多余权限。
- 全程可追溯:谁在什么时间做了什么操作,都能查到。
- 自动化闭环:补丁、封禁、监控尽量自动完成,减少人为失误。
二、关键加固措施
1. 账户与认证安全
-
特权账户管控只保留一个 root 管理员,清理不用的账号,长期不登录的自动锁定。禁止 root 直接远程登录,只能用普通用户登录后再提权。
-
强认证优先用密钥登录,尽量关闭密码登录。强制密码复杂度:长度、字符种类、定期更换。
-
sudo 精细化不要给普通用户全部管理员权限,只开放他需要用到的命令。记录所有 sudo 操作,方便事后审计。
2. 权限与文件安全
-
文件权限系统关键密码文件、配置文件权限收紧,防止普通用户查看或修改。用户家目录权限合理控制,避免互相越权访问。
-
特殊权限清理定期检查并删除不必要的高权限程序,减少被利用提权的风险。
-
强制访问控制红帽系开启 SELinux,Ubuntu/Debian 开启 AppArmor,限制程序只能访问指定目录和文件,即使被入侵也难扩散。
3. 网络与防火墙
-
防火墙默认拒绝所有外来连接,只开放业务必需端口。限制 SSH 只能从指定 IP 或内网访问。
-
SSH 安全可修改默认端口,减少被批量扫描的概率。用工具自动拦截暴力破解,多次输错密码直接拉黑 IP。
-
关闭无用服务不用的网络功能、协议、服务全部关闭,减少暴露面。
4. 内核与系统底层加固
-
内核参数开启防洪水攻击、防止路由欺骗、限制异常数据包等安全参数。不随意加载未知内核模块,物理机可开启安全启动。
-
文件系统安全给不同分区加上限制:不能执行程序、不能设置特殊权限、不能挂载设备。重要数据分区加密,防止硬盘被拆走直接读数据。
-
文件完整性监控关键系统文件是否被篡改,一旦修改立刻告警。
5. 漏洞与补丁管理
-
定期更新测试环境先更,没问题再上生产。高危漏洞尽快修复,中低危定期批量更新。
-
自动化补丁配置系统自动安装安全更新,避免忘记打补丁。
-
容器安全用最小镜像,少装软件少留漏洞。不给容器过高权限,定期扫描镜像里的漏洞。
6. 日志与监控
-
集中日志把系统日志、操作日志、安全日志统一收集,方便排查。日志保存足够长时间,并防止被攻击者删除。
-
操作审计记录关键操作:新建用户、修改密码、修改配置、提权操作等。出现异常能快速定位到人、时间、行为。
-
实时监控监控异常登录、异常提权、异常进程。发现可疑行为立刻告警或自动拦截。
7. 数据安全与备份
-
备份策略至少 3 份数据、2 种不同介质、1 份异地备份。定期恢复测试,确保备份真的能用。
-
数据加密传输用加密协议,不明文传密码和数据。存储重要数据加密,防止物理泄露。
-
应急响应有明确的入侵处理流程:断网、排查、清除、恢复、复盘。
三、常见高危风险与规避
-
SSH 配置不当风险:允许 root 密码登录、弱密码、不限 IP。规避:禁止 root 远程登录,用密钥,限制来源 IP。
-
权限过大风险:文件、目录、程序权限太松,被拿来提权。规避:按最小权限设置,定期检查高危权限。
-
端口乱开风险:不用的端口暴露在外,被当成突破口。规避:只开业务端口,防火墙默认拒绝。
-
不打补丁风险:已知漏洞被公开利用,服务器秒沦陷。规避:定期更新 + 自动安全补丁。
-
无日志无备份风险:被黑了查不到原因,数据被删无法恢复。规避:统一日志 + 定期备份 + 恢复演练