服务器基线加固概述

服务器基线加固是保障系统安全的核心措施,涵盖漏洞修复、配置优化、入侵检测等环节。以下为从基础防护到高级预警的全套实施方案。

漏洞排查与修复

自动化扫描工具

  • 使用Nessus、OpenVAS或Nexpose进行全盘漏洞扫描,识别缺失补丁、弱密码、开放高危端口等问题。
  • 对扫描结果按CVSS评分排序,优先处理评分≥7.0的漏洞。

手动补丁管理

  • 定期检查厂商安全公告(如微软Patch Tuesday、Linux发行版更新)。
  • 数据库类漏洞需单独处理,例如Oracle季度补丁、MySQL CVE修复。

配置漏洞修复示例

  • 关闭不必要的服务:systemctl disable telnet.socket
  • 禁用历史命令记录:unset HISTFILE

系统配置强化

权限最小化原则

  • 创建专用低权限账户:useradd -m -s /bin/bash deployer
  • 限制sudo权限:visudo中配置%admin ALL=(ALL) NOPASSWD: /usr/bin/apt update

文件系统保护

  • 关键目录权限设置: 
    chmod 750 /etc/init.d
chown root:root /etc/passwd
chattr +i /etc/shadow

  • 启用SELinux/AppArmor: 
    setenforce 1  # SELinux强制模式
aa-enforce /etc/apparmor.d/httpd  # AppArmor策略

网络层加固

  • 防火墙规则(iptables示例): 
    iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

  • 禁用IPv6(如无需使用):sysctl -w net.ipv6.conf.all.disable_ipv6=1

入侵检测系统部署

基于主机的HIDS

  • OSSEC部署: 
    wget -q -O - https://www.ossec.net/files/ossecd.key | sudo apt-key add -
./install.sh

  • 配置关键目录监控:/var/ossec/etc/ossec.conf中添加: 
    <directories check_all="yes">/etc,/usr/bin</directories>

网络级NIDS

  • Suricata规则示例(检测SSH暴力破解): 
    alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force"; flow:to_server; content:"SSH-"; threshold:type threshold, track by_src, count 5, seconds 60; sid:1000001;)

日志集中分析

  • ELK Stack收集日志:Filebeat配置示例: 
    filebeat.inputs:
- type: log
  paths: [/var/log/auth.log]
output.logstash:
  hosts: ["logstash:5044"]

实时预警机制

阈值告警配置

  • Zabbix触发器示例(CPU异常): 
    {host:system.cpu.load[all,avg1].last()}>5

  • Prometheus Alertmanager规则(内存泄漏): 
    - alert: HighMemoryUsage
  expr: (node_memory_MemAvailable_bytes / node_memory_MemTotal_bytes) * 100 < 10
  for: 10m

多通道通知

  • 通过SMTP/Telegram/Webhook发送告警,建议采用PagerDuty或钉钉机器人实现分级通知。

持续维护策略

自动化合规检查

  • 使用CIS Benchmark工具定期验证: 
    lynis audit system --quick

  • 生成报告并修复不符合项。

红蓝对抗演练

  • 每季度执行渗透测试,工具包括Metasploit、Burp Suite。
  • 模拟攻击后生成修复建议报告。

备份验证

  • 加密备份关键数据:tar -czf backup.tar.gz --exclude=/var/tmp /
  • 每月测试备份恢复流程,确保RTO<4小时。

通过以上措施,可将服务器安全基线提升至等保三级或ISO27001标准要求水平。

# 服务器 # 运维
Logo
openEuler 社区

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐

【避坑指南】解决 Linux 下 OpenCV 导入报错 ImportError: libGL.so.1 缺失,一步到位

摘要:在Linux服务器上使用opencv-python时,常会遇到ImportError: libGL.so.1缺失报错。本文通过实际案例分析了该问题的根源——pip安装的OpenCV默认依赖图形库,即使不调用GUI功能也会加载libGL。作者尝试了多种解决方案(安装系统依赖、重装OpenCV等),最终发现彻底卸载pip包并改用系统包管理器安装或使用headless版本才是根本解决方法。文章提供

avatar openEuler 社区

【避坑指南】Rust调用Python请求失败?只需将HTTP改为HTTPS

摘要:使用Rust的PyO3调用Python网络请求时,若遇到"Failed"错误,可能是HTTP协议被服务器拒绝所致。本文通过真实案例展示如何将http://改为https://解决问题,并分析HTTPS强制访问的底层原理。排查发现,服务器强制HTTPS导致HTTP请求失败,Python异常未被妥善处理。解决方案包括修改URL协议、增强错误信息捕获等。现代Web服务普遍配置H

avatar openEuler 社区
cover

磁盘满了半夜被告警叫醒?我用Ansible+Cron自动化清理日志,再也不用手动删了!

avatar openEuler 社区