Linux服务器易受勒索软件攻击,需主动收敛攻击面、加固SSH与服务配置、落实最小权限、执行3-2-1加密备份、定期还原验证,并部署auditd/osquery实时监控与应急响应包。
Linux服务器并非免疫勒索软件,尤其当暴露在公网、使用弱密码、运行过时服务或依赖不安全脚本时,风险显著上升。真正有效的防护不是靠“Linux很安全”的惯性认知,而是主动收敛攻击面、加固关键环节、建立可靠恢复能力。
关闭不必要的端口与服务
绝大多数勒索攻击始于未授权的远程访问入口。SSH、Rsync、Samba、Redis、MongoDB等若配置不当且直接暴露在公网,极易成为突破口。
- 用 ss -tuln 或 netstat -tuln 查看监听端口,确认每个端口是否必需
- 非必要服务(如telnet、ftp、rpcbind)直接卸载,而非仅停用
- SSH禁止root远程登录(PermitRootLogin no),禁用密码认证,强制使用密钥+证书
- 公网SSH建议改默认端口、配合fail2ban,并限制IP白名单(通过iptables或cloud防火墙)
最小权限原则与用户隔离
勒索程序一旦获得执行权限,会尝试横向提权或遍历写入。限制其活动范围能大幅降低破坏力。
- Web服务(如Nginx/Apache)和数据库(MySQL/PostgreSQL)务必以独立低权限系统用户运行,禁止使用root或www-data以外的通用账户
- 网站目录设置严格属主与权限:chown -R www-data:www-data /var/www/site,静态文件设为644,可执行脚本限755,上传目录(如wp-content/uploads)禁止执行PHP(Nginx中用location匹配并return 403)
- 定期检查sudoers配置(visudo -c),删除无明确业务需求的NOPASSWD条目
自动化备份 + 异地离线验证
备份不是存了就完事,勒索软件常会加密或删掉挂载的备份卷。必须满足“3-2-1”原则:3份数据、2种介质、1份离线/异地。
- 每日增量 + 每周全量,用rsync或borgbackup加密压缩后推送到对象存储(如MinIO、AWS S3、腾讯云COS),启用版本控制与防删除锁(Object Lock)
- 关键数据库(如MySQL)配合mysqldump + gzip + gpg加密,定时导出并scp到另一台管理机(该机不开放SSH给业务网段)
- 每月至少一次手动还原测试:从备份拉取数据,在隔离环境重建服务,验证应用可用性与数据完整性
实时监控与快速响应准备
等发现被加密再响应已晚。应提前部署轻量级行为感知能力,把异常扼杀在初期。
- 用auditd监控敏感路径(如/etc、/var/www、/home/*/public_html)的文件创建、修改、执行事件,规则示例:-w /var/www -p wa -k web_change
- 部署osquery或Wazuh Agent,收集进程启动、计划任务变更、SSH登录日志,设置告警阈值(如1小时内5次失败登录后成功)
- 准备应急响应包:含干净的SSH密钥对、最新备份索引清单、恢复脚本、联系人列表,加密存于U盘或离线笔记,不放在服务器上
