答案:通过修改端口、禁用root登录、密钥认证、限制IP和启用fail2ban加固SSH;数据库服务绑定内网、最小权限、强密码、加密通信和关闭危险功能;Web服务隐藏版本、限制方法、配置WAF、控制目录权限并以低权用户运行,遵循最小化原则保障安全。
保障 Linux 系统中关键服务(如 SSH、数据库、Web 服务)的安全性,是系统管理员的核心职责。攻击者通常从这些暴露在公网或内网的服务入手,因此必须进行针对性的安全加固。以下是对三大核心服务的实用安全措施。
SSH 服务安全加固
SSH 是远程管理的主要入口,也是暴力破解和未授权访问的高风险点。应采取以下措施降低风险:
- 修改默认端口:将 SSH 从默认的 22 端口改为非常见端口,减少自动化扫描攻击。
- 禁用 root 登录:设置 PermitRootLogin no,强制使用普通用户登录后切换权限。
- 使用密钥认证代替密码:关闭密码登录(PasswordAuthentication no),仅允许 SSH 密钥登录。
- 限制访问源 IP:通过防火墙或 AllowUsers 配置,只允许可信 IP 连接。
- 启用 fail2ban:自动封禁多次尝试失败的 IP 地址,防止暴力破解。
数据库服务安全加固(以 MySQL/PostgreSQL 为例)
数据库常存储敏感信息,一旦泄露后果严重。应从访问控制和配置层面加强防护:
- 禁止监听公网地址:若应用与数据库在同一主机,绑定到 127.0.0.1,避免外部直接访问。
- 最小化权限分配:为每个应用创建独立账号,并授予最低必要权限,避免使用 root 或超级用户连接。
- 强制强密码策略:启用密码复杂度检查,定期轮换密码。
- 启用加密连接:配置 TLS 加密客户端与数据库之间的通信,防止中间人窃听。
- 关闭危险功能:如 MySQL 的 LOAD DATA LOCAL INFILE,防止文件读取漏洞被利用。
Web 服务安全加固(以 Nginx/Apache 为例)
Web 服务直接面向用户,容易受到注入、路径遍历等攻击。需从服务配置和运行环境两方面着手:
- 隐藏服务版本信息:关闭 Server: nginx/X.X.X 类似头信息,减少攻击者指纹识别依据。
- 限制请求方法:禁用不必要的 HTTP 方法(如 PUT、DELETE),防止非法操作。
- 配置 WAF(Web 应用防火墙):使用 ModSecurity 等工具拦截 SQL 注入、XSS 等常见攻击。
- 静态资源目录权限控制:确保 Web 目录不可执行脚本,上传目录不可写入可执行文件。
- 以低权限用户运行服务:Nginx/Apache 不应以 root 启动,使用专用账户(如 www-data)降低被攻陷后的权限影响。
基本上就这些。每项服务的加固都围绕“最小权限、最小暴露、最小功能”原则展开。定期审计配置、更新补丁、监控日志,才能持续保持系统的安全状态。
