安全加固需从默认配置入手:禁用root远程SSH登录并启用密钥认证,关闭非必要服务;统一时区、语言及国内可信软件源;落实最小权限原则,创建专用用户与组并限制sudo命令范围;前置部署sysstat、rsyslog及轻量监控实现可观测性。
安全加固:从默认配置开始
新装的Linux服务器默认配置往往存在安全隐患,比如root远程登录、弱密码策略、未关闭的无用服务等。必须第一时间禁用root直接SSH登录,改用普通用户+sudo方式管理;同时配置SSH密钥认证,停用密码登录(PasswordAuthentication no)。检查并关闭非必要端口和服务(如telnet、ftp、rpcbind),用systemctl list-unit-files --state=enabled快速筛查自启服务。
基础环境统一:时区、语言与软件源
生产环境要求时间精准和字符集稳定。执行timedatectl set-timezone Asia/Shanghai统一时区,并启用chronyd服务同步时间;设置localectl set-locale LANG=en_US.UTF-8避免中文乱码或脚本异常。国内服务器务必替换为可信镜像源(如阿里云、腾讯云),更新前先备份原/etc/apt/sources.list(Debian/Ubuntu)或/etc/yum.repos.d/CentOS-Base.repo(RHEL/CentOS),再执行apt update或yum makecache。
用户与权限标准化:最小权限原则落地
创建运维专用管理组(如ops)和部署用户(如deploy),禁止使用root执行日常操作。通过usermod -aG ops deploy加入权限组,并在/etc/sudoers.d/deploy中限制命令范围,例如只允许重启nginx、拉取代码、查看日志。所有敏感目录(如/var/www、/opt/app)归属部署用户,权限设为750,避免组外可写。
监控与日志前置:不等出问题才补救
初始化阶段就应部署基础可观测能力。安装sysstat收集CPU、内存、I/O历史数据;配置rsyslog将关键日志(auth、kern、messages)转发至中心日志服务器或本地归档(/var/log/secure-$(date +%Y%m%d))。轻量级监控可用netdata或prometheus-node-exporter,暴露指标端口后立即接入告警体系,确保机器上线即“可见、可查、可响应”。
