Linux 服务器安全加固方案(企业生产标准安全策略)
·
一、前言
服务器暴露公网极易被暴力破解、端口扫描、木马入侵。本篇整理企业全套安全加固方案,从零打造安全服务器,适合实训、生产、面试。
二、账号安全加固
1. 禁止root远程登录
编辑/etc/ssh/sshd_config
PermitRootLogin no
systemctl restart sshd
2. 创建普通用户、赋予sudo权限
useradd admin
passwd admin
usermod -aG wheel admin
3. 清理无用账号
userdel games
userdel nobody
三、密码安全策略
设置密码复杂度、有效期,防止弱密码爆破
vim /etc/login.defs
# 密码最长有效期90天
PASS_MAX_DAYS 90
# 密码最小长度8位
四、SSH安全加固
-
修改默认22端口
-
禁止密码登录(密钥登录)
-
限制登录失败次数
五、端口与防火墙安全
-
关闭所有无用端口
-
防火墙/安全组只放行业务端口
-
关闭高危端口:3389、445、21等
六、系统安全加固
-
定期更新系统补丁
yum update -
关闭SELinux、防火墙按需放行
-
禁止系统核心文件修改权限
-
锁定关键系统文件
chattr +i /etc/passwd
chattr +i /etc/shadow
七、日志安全审计
-
开启日志轮转,保留历史操作记录
-
定期检查登录日志,排查异常登录
last # 查看登录记录
history # 查看操作记录
八、病毒与木马防护
-
禁止服务器随意下载未知脚本
-
定期检查异常进程、异常端口
-
禁止服务器对外恶意扫描
九、企业安全加固总结
-
禁用root远程登录,使用普通用户运维
-
高强度密码+定期更换
-
最小化放行端口,关闭无用服务
-
定期备份、定期更新补丁、定期审计日志
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐



所有评论(0)