)
一、前言
服务器暴露公网极易被暴力破解、端口扫描、木马入侵。本篇整理企业全套安全加固方案,从零打造安全服务器,适合实训、生产、面试。
二、账号安全加固
1. 禁止root远程登录
编辑/etc/ssh/sshd_config
PermitRootLogin nosystemctl restart sshd2. 创建普通用户、赋予sudo权限
useradd admin passwd admin usermod -aG wheel admin3. 清理无用账号
userdel games userdel nobody三、密码安全策略
设置密码复杂度、有效期,防止弱密码爆破
vim /etc/login.defs # 密码最长有效期90天 PASS_MAX_DAYS 90 # 密码最小长度8位四、SSH安全加固
修改默认22端口
禁止密码登录(密钥登录)
限制登录失败次数
五、端口与防火墙安全
关闭所有无用端口
防火墙/安全组只放行业务端口
关闭高危端口:3389、445、21等
六、系统安全加固
定期更新系统补丁
yum update关闭SELinux、防火墙按需放行
禁止系统核心文件修改权限
锁定关键系统文件
chattr +i /etc/passwd chattr +i /etc/shadow七、日志安全审计
开启日志轮转,保留历史操作记录
定期检查登录日志,排查异常登录
last # 查看登录记录 history # 查看操作记录八、病毒与木马防护
禁止服务器随意下载未知脚本
定期检查异常进程、异常端口
禁止服务器对外恶意扫描
九、企业安全加固总结
禁用root远程登录,使用普通用户运维
高强度密码+定期更换
最小化放行端口,关闭无用服务
定期备份、定期更新补丁、定期审计日志
