一、前言

服务器暴露公网极易被暴力破解、端口扫描、木马入侵。本篇整理企业全套安全加固方案,从零打造安全服务器,适合实训、生产、面试。


二、账号安全加固

1. 禁止root远程登录

编辑/etc/ssh/sshd_config

PermitRootLogin no
systemctl restart sshd

2. 创建普通用户、赋予sudo权限

useradd admin
passwd admin
usermod -aG wheel admin

3. 清理无用账号

userdel games
userdel nobody

三、密码安全策略

设置密码复杂度、有效期,防止弱密码爆破

vim /etc/login.defs
# 密码最长有效期90天
PASS_MAX_DAYS 90
# 密码最小长度8位

四、SSH安全加固

  • 修改默认22端口

  • 禁止密码登录(密钥登录)

  • 限制登录失败次数


五、端口与防火墙安全

  • 关闭所有无用端口

  • 防火墙/安全组只放行业务端口

  • 关闭高危端口:3389、445、21等


六、系统安全加固

  • 定期更新系统补丁 yum update

  • 关闭SELinux、防火墙按需放行

  • 禁止系统核心文件修改权限

  • 锁定关键系统文件

chattr +i /etc/passwd
chattr +i /etc/shadow

七、日志安全审计

  • 开启日志轮转,保留历史操作记录

  • 定期检查登录日志,排查异常登录

last       # 查看登录记录
history    # 查看操作记录

八、病毒与木马防护

  • 禁止服务器随意下载未知脚本

  • 定期检查异常进程、异常端口

  • 禁止服务器对外恶意扫描


九、企业安全加固总结

  1. 禁用root远程登录,使用普通用户运维

  2. 高强度密码+定期更换

  3. 最小化放行端口,关闭无用服务

  4. 定期备份、定期更新补丁、定期审计日志

Logo

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐