企业官网使用Linux服务器需要注意哪些安全设置?

2026-03-06 23:15:17 分类:云知识

企业官网使用 Linux 服务器时,安全是重中之重。以下是一套系统化的关键安全设置建议,涵盖从基础配置到纵深防御的多个层面:

一、系统账户与认证安全

  1. 禁用 root 远程登录
    • 编辑 /etc/ssh/sshd_config,设置: 
      PermitRootLogin no
PasswordAuthentication no
    • 创建普通用户并赋予 sudo 权限,仅通过密钥登录。
  2. 强制 SSH 密钥认证
    • 生成强密钥对(如 Ed25519),将公钥部署至 ~/.ssh/authorized_keys
    • 关闭密码登录(PasswordAuthentication no)。
  3. 限制登录尝试次数
    • 安装 fail2ban 防止暴力破解: 
      sudo apt install fail2ban  # Debian/Ubuntu
sudo yum install fail2ban  # CentOS/RHEL
    • 配置规则自动封禁多次失败 IP。

二、网络与防火墙策略

  1. 最小化开放端口
    • 仅开放必要端口(如 80/443 for Web,22 for SSH via key)。
    • 使用 ufw(推荐)或 firewalld 配置默认拒绝策略: 
      sudo ufw default deny incoming
sudo ufw allow 22/tcp comment "SSH"
sudo ufw allow 80/tcp comment "HTTP"
sudo ufw allow 443/tcp comment "HTTPS"
sudo ufw enable
  2. 启用内网隔离
    • 数据库、缓存等后端服务监听 127.0.0.1,禁止公网访问。
  3. 部署 WAF(Web 应用防火墙)
    • 使用 ModSecurity + Nginx/Apache 模块,或云厂商 WAF 服务,拦截 SQL 注入、XSS 等攻击。

三、系统与软件更新管理

  1. 定期自动更新
    • 配置 unattended-upgrades(Debian/Ubuntu)或 yum-cron(RHEL/CentOS)自动安装安全补丁。
  2. 最小化安装原则
    • 仅安装业务必需的软件包,移除无用服务(如 telnet, ftp, rpcbind)。
  3. 及时升级依赖库
    • 定期检查 PHP/Python/Node.js 等运行时及框架版本,避免已知漏洞(如 Log4j、Shellshock)。

四、文件与权限控制

  1. 严格目录权限
    • Web 根目录所有者设为 www-data:www-data(Linux 常见 Web 用户组),权限为 755(目录)/ 644(文件)。
    • 禁止脚本执行权限:chmod -x /var/www/html/*.php
  2. 敏感文件保护
    • 配置文件(如 .env, wp-config.php)移出 Web 根目录,权限设为 600
    • 隐藏 .git 等版本控制目录。
  3. SELinux/AppArmor 启用
    • RHEL/CentOS 默认开启 SELinux;Ubuntu 可启用 AppArmor 增强进程沙箱。

五、日志监控与审计

  1. 集中日志管理
    • 使用 rsyslog 或 ELK Stack 收集系统日志、Nginx/Apache 访问日志、错误日志。
  2. 关键操作审计
    • 启用 auditd 记录敏感操作(如 sudo、文件修改、网络变更)。
  3. 异常行为告警
    • 配置邮件/钉钉/Slack 通知机制,检测异常登录、大流量请求、磁盘空间骤降等。

六、备份与灾备

  1. 自动化加密备份
    • 每日增量备份 + 每周全量备份,存储于异地(如对象存储 S3/OSS),启用 AES-256 加密。
  2. 恢复演练
    • 每季度验证备份可恢复性,确保 RTO/RPO 满足业务需求。

七、额外加固建议

  • 禁用不必要内核模块:通过 blacklist 减少攻击面。
  • 启用 ASLR & DEP:检查 /proc/sys/kernel/randomize_va_spacekernel.exec-shield
  • 定期渗透测试:使用 nikto, nmap, burp suite 扫描漏洞。
  • CDN 提速 + DDoS 防护:结合 Cloudflare/AWS Shield 缓解流量攻击。

💡 最佳实践提示:遵循“零信任”原则——不信任任何内部/外部请求,所有访问需显式授权。同时建立安全基线文档(如 CIS Benchmark),定期对照自查。

通过以上措施,可显著提升企业官网在复杂网络环境中的抗风险能力。如需针对具体技术栈(如 LAMP/LNMP)细化配置,可进一步说明场景。

未经允许不得转载:CLOUD云枢 » 企业官网使用Linux服务器需要注意哪些安全设置?

相关推荐