服务器基线加固概述
服务器基线加固是保障系统安全的核心措施,涵盖漏洞修复、配置优化、入侵检测等环节。以下为从基础防护到高级预警的全套实施方案。
漏洞排查与修复
自动化扫描工具
- 使用Nessus、OpenVAS或Nexpose进行全盘漏洞扫描,识别缺失补丁、弱密码、开放高危端口等问题。
- 对扫描结果按CVSS评分排序,优先处理评分≥7.0的漏洞。
手动补丁管理
- 定期检查厂商安全公告(如微软Patch Tuesday、Linux发行版更新)。
- 数据库类漏洞需单独处理,例如Oracle季度补丁、MySQL CVE修复。
配置漏洞修复示例
- 关闭不必要的服务:
systemctl disable telnet.socket - 禁用历史命令记录:
unset HISTFILE
系统配置强化
权限最小化原则
- 创建专用低权限账户:
useradd -m -s /bin/bash deployer - 限制sudo权限:
visudo中配置%admin ALL=(ALL) NOPASSWD: /usr/bin/apt update
文件系统保护
-
关键目录权限设置:
bashchmod 750 /etc/init.d chown root:root /etc/passwd chattr +i /etc/shadow -
启用SELinux/AppArmor:
bashsetenforce 1 # SELinux强制模式 aa-enforce /etc/apparmor.d/httpd # AppArmor策略
网络层加固
-
防火墙规则(iptables示例):
bashiptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP -
禁用IPv6(如无需使用):
sysctl -w net.ipv6.conf.all.disable_ipv6=1
入侵检测系统部署
基于主机的HIDS
-
OSSEC部署:
bashwget -q -O - https://www.ossec.net/files/ossecd.key | sudo apt-key add - ./install.sh -
配置关键目录监控:
/var/ossec/etc/ossec.conf中添加:XML<directories check_all="yes">/etc,/usr/bin</directories>
网络级NIDS
-
Suricata规则示例(检测SSH暴力破解):
yamlalert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force"; flow:to_server; content:"SSH-"; threshold:type threshold, track by_src, count 5, seconds 60; sid:1000001;)
日志集中分析
-
ELK Stack收集日志:Filebeat配置示例:
yamlfilebeat.inputs: - type: log paths: [/var/log/auth.log] output.logstash: hosts: ["logstash:5044"]
实时预警机制
阈值告警配置
-
Zabbix触发器示例(CPU异常):
text{host:system.cpu.load[all,avg1].last()}>5 -
Prometheus Alertmanager规则(内存泄漏):
yaml- alert: HighMemoryUsage expr: (node_memory_MemAvailable_bytes / node_memory_MemTotal_bytes) * 100 < 10 for: 10m
多通道通知
- 通过SMTP/Telegram/Webhook发送告警,建议采用PagerDuty或钉钉机器人实现分级通知。
持续维护策略
自动化合规检查
-
使用CIS Benchmark工具定期验证:
bashlynis audit system --quick -
生成报告并修复不符合项。
红蓝对抗演练
- 每季度执行渗透测试,工具包括Metasploit、Burp Suite。
- 模拟攻击后生成修复建议报告。
备份验证
- 加密备份关键数据:
tar -czf backup.tar.gz --exclude=/var/tmp / - 每月测试备份恢复流程,确保RTO<4小时。
通过以上措施,可将服务器安全基线提升至等保三级或ISO27001标准要求水平。