Linux服务器安全是企业信息系统的核心防线,需从系统加固、访问控制、安全配置、日志监控等多维度构建防护体系,系统加固是基础,应遵循最小权限原则,仅安装业务必需的软件包,通过apt-get purge或yum remove清理冗余组件;禁用不必要的服务,如telnet、rsh等明文传输协议,改用SSH加密连接;定期更新系统补丁,使用unattended-upgrades自动安装安全更新,或通过yum check-update/apt list --upgradable手动检查漏洞,访问控制方面,需限制root远程登录,在/etc/ssh/sshd_config中设置PermitRootLogin no,并启用密钥认证(PasswordAuthentication no);为不同用户分配独立账户,通过sudo授权管理权限,避免共用root账号;防火墙配置是关键,可使用iptables或firewalld限制端口访问,仅开放业务必需端口(如80、443、22),示例规则如下:
| 动作 | 协议 | 端口 | 源地址 | 说明 |
|---|---|---|---|---|
| ACCEPT | TCP | 22 | 168.1.0/24 | 仅允许内网SSH访问 |
| ACCEPT | TCP | 80,443 | 0.0.0/0 | 开放Web服务端口 |
| DROP | ALL | 默认拒绝所有其他连接 |
安全配置需强化文件权限,通过chmod 640限制敏感文件(如/etc/shadow)访问,使用chown设置合理属主;启用SELinux或AppArmor强制访问控制,通过getenforce检查状态,setenforce 1启用;配置密码策略,在/etc/login.defs中设置最小密码长度(PASS_MIN_LEN 12)和有效期(PASS_MAX_DAYS 90),并强制复杂字符组合,日志监控是实时防御的关键,启用rsyslog收集系统日志,配置日志轮转(/etc/logrotate.d/rsyslog)避免磁盘占满;使用fail2ban监控暴力破解,自动封禁恶意IP(如sshd连续失败5次即封禁1小时);部署入侵检测系统如OSSEC,监控文件变更、异常进程启动等行为,漏洞管理需定期扫描,使用lynis进行系统安全审计,nmap探测端口开放情况,OpenVAS扫描已知漏洞,建立漏洞修复优先级矩阵,高危漏洞24小时内修复,中危漏洞7天内处理,定期备份关键数据,采用“3-2-1”原则(3份副本、2种介质、1份异地存储),并通过rsync或rclone实现增量备份,确保灾难恢复能力。
FAQs
Q1:如何定期检查Linux服务器安全状态?
A:可通过组合工具实现全面检查:使用lynis audit system进行系统基线检查,生成安全报告;用clamscan全盘扫描恶意软件;检查last命令查看登录日志,识别异常IP;使用top和htop监控异常进程,重点关注隐藏进程(可通过ls -la /proc/*/exe排查);最后验证文件完整性,rpm -Va(CentOS)或debsums(Ubuntu)检测关键文件是否被篡改。
Q2:Linux服务器被入侵后如何应急处理?
A:第一步立即断开网络连接,防止攻击者进一步操作;第二步保留现场证据,使用dd命令镜像磁盘(dd if=/dev/sda of=/forensic_image.dd bs=4M),避免破坏原始数据;第三步分析入侵路径,检查/var/log/auth.log和/var/log/secure中的登录记录,定位被利用的漏洞;第四步清理后门,删除异常用户、可疑进程(如netcat、bash隐藏进程),并重置所有密码;第五步修复漏洞,更新系统补丁,加固防火墙规则和SSH配置;最后恢复系统,从可信备份恢复数据,重新部署前进行全面安全扫描。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/24849.html
