服务器加固是指通过一系列安全措施和配置来晋升服务器的安全性,从而缩小服务器面临的平安威逼和攻打的可能性。
服务器加固计划通常包含以下一些常见的措施:
- 更新和降级操作系统和软件:定期更新和降级操作系统、服务器软件、数据库等,以修复已知的安全漏洞,并且禁用或删除不须要的服务和软件,以缩小攻击面。
- 强化访问控制:应用强明码和账户策略,并限度服务器上的登录用户和拜访权限。禁用不必要的默认账户,并配置正确的文件和目录权限,确保只有受权用户能够拜访要害文件和目录。
- 配置防火墙:配置服务器防火墙,限度入站和出站流量,只容许必要的网络通信,并阻止潜在的歹意流量。
- 应用平安协定和加密:例如,应用 HTTPS 来加密客户端和服务器之间的通信,以爱护敏感数据的传输过程中的安全性。
- 定期备份和监控:建设定期备份机制,以便在服务器受到攻打或数据失落时可能疾速复原。同时,配置安全监控和日志记录,及时检测和应答可能的安全事件。
- 应用平安的软件和插件:确保服务器上安装的软件和插件是来自可信的起源,并定期更新和降级,以修复已知的安全漏洞。
- 进行平安审计和破绽扫描:定期进行平安审计和破绽扫描,辨认服务器上的平安危险,并及时修复发现的破绽。
- 网络隔离:将服务器搁置在平安的网络环境中,并采纳网络隔离措施,限度与其余不必要的网络连接。
- 安全更新和监测:及时关注操作系统、软件和应用程序的安全更新,及时利用安全补丁和修复已知破绽,并通过平安监测和警报系统,实时监测服务器的平安状态。
这只是服务器加固的一些常见计划,理论的服务器加固措施应依据具体的服务器环境和平安需要来进行定制化,并且须要定期审查和更新,以确保服务器始终保持在一个较高的平安程度。
以下是服务器平安加固的步骤,本文以腾讯云的 CentOS7.7 版本为例来介绍,如果你应用的是秘钥登录服务器 1 - 5 步骤能够跳过。
设置简单明码
服务器设置大写、小写、特殊字符、数字组成的 12-16 位的简单明码,也可应用明码生成器主动生成简单明码
echo “root:wgr1TDs2Mnx0XuAv” | chpasswd
设置明码策略
批改文件 /etc/login.defs
PASS_MAX_DAYS 90 明码最长有效期
PASS_MIN_DAYS 10 明码批改之间最小的天数
PASS_MIN_LEN 8 明码长度
PASS_WARN_AGE 7 口令生效前多少天开始告诉用户批改明码
对明码强度进行设置
编辑文件 /etc/pam.d/password-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
difok= 定义新密码中必须要有几个字符和旧明码不同
minlen= 新密码的最小长度
ucredit= 新密码中能够蕴含的大写字母的最大数目。-1 至多一个
lcredit= 新密码中能够蕴含的小写字母的最大数
dcredit= 定新密码中能够蕴含的数字的最大数目
注:这个明码强度的设定只对 ” 普通用户 ” 有限度作用,root 用户无论批改本人的明码还是批改普通用户的时候,不合乎强度设置仍然能够设置胜利
对用户的登录次数进行限度
编辑文件 /etc/pam.d/sshd
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300
屡次输出明码失败后提示信息如下
pam_tally2 查看被锁定的用户
pam_tally2 –reset -u username 将被锁定的用户解锁
禁止 root 用户近程登录
禁止 ROOT 用户近程登录。关上 /etc/ssh/sshd_config
PermitRootLogin no
注:失效要重启 sshd 过程。更改 ssh 端口
vim /etc/ssh/sshd_config,更改 Port 或追加 Port
注:失效要重启 sshd 过程。
平安组敞开没必要的端口
德迅云平安平台有平安组性能,外面您只须要放行业务协定和端口,不倡议放行所有协定所有端口,参考文档:德迅云平安 - 当先云平安服务与解决方案提供商
设置账户保留历史命令条数,超时工夫
关上 /etc/profile , 批改如下
HISTSIZE=1000
TMOUT=600
五分钟未动,服务器超时主动断开与客户端的链接。
定期查看系统日志
/var/log/messages
/var/log/secure
重要服务器能够将日志定向传输到指定服务器进行剖析。
定期备份数据
目录要有布局,并且有周期性的打包备份数据到指定的服务器。
应用程序 /data1/app/
程序日志 /data1/logs/
重要数据 /data1/data/