服務(wù)器安全防護(hù)的具體措施有哪些?

服務(wù)器是網(wǎng)站與應(yīng)用的核心承載載體，其安全直接決定了業(yè)務(wù)穩(wěn)定性與數(shù)據(jù)安全性。以下是從賬戶權(quán)限、網(wǎng)絡(luò)訪問(wèn)、系統(tǒng)加固、數(shù)據(jù)防護(hù)、監(jiān)控審計(jì)五大維度出發(fā)的具體防護(hù)措施，包含可落地的配置示例，適用于 Linux(如 CentOS、Ubuntu)和 Windows Server 主流系統(tǒng)。

一、賬戶與權(quán)限安全：從源頭阻斷非授權(quán)訪問(wèn)

服務(wù)器的賬戶權(quán)限失控是最危險(xiǎn)的安全隱患之一，需通過(guò) “最小權(quán)限原則” 和 “強(qiáng)身份驗(yàn)證” 嚴(yán)格管控。

1. 禁用 / 加固超級(jí)管理員賬戶

Linux 系統(tǒng)(以 CentOS 為例)：

禁用 root 直接登錄 SSH：編輯 SSH 配置文件 /etc/ssh/sshd_config，將 PermitRootLogin 改為 no，保存后重啟 SSH 服務(wù)：systemctl restart sshd。

創(chuàng)建普通管理員賬戶：執(zhí)行 useradd admin(創(chuàng)建賬戶)→ passwd admin(設(shè)置密碼，需滿足 “12 位 + 大小寫(xiě) + 數(shù)字 + 特殊符號(hào)”)→ 賦予 sudo 權(quán)限：usermod -aG sudo admin(僅允許通過(guò)sudo執(zhí)行高權(quán)限操作)。

Windows Server 系統(tǒng)：

重命名默認(rèn) Administrator 賬戶：打開(kāi) “計(jì)算機(jī)管理→本地用戶和組→用戶”，右鍵 Administrator→重命名(如改為 “ServerAdmin”)，避免黑客暴力破解默認(rèn)賬戶名。

禁用 Guest 賬戶：同上路徑，右鍵 Guest 賬戶→屬性→勾選 “賬戶已禁用”，防止匿名訪問(wèn)。

2. 強(qiáng)化身份驗(yàn)證方式

優(yōu)先使用 SSH 密鑰登錄(Linux)：

本地生成密鑰對(duì)：Windows 用 PuTTYgen，macOS/Linux 執(zhí)行 ssh-keygen -t rsa -b 4096(4096 位加密，比 2048 位更安全)，一路回車(chē)不設(shè)置密碼(或設(shè)置密鑰密碼進(jìn)一步加固)。

上傳公鑰到服務(wù)器：ssh-copy-id admin@服務(wù)器IP(輸入 admin 賬戶密碼)，公鑰會(huì)自動(dòng)保存到服務(wù)器 /home/admin/.ssh/authorized_keys。

禁用密碼登錄：編輯 /etc/ssh/sshd_config，將 PasswordAuthentication 改為 no，重啟 SSH 服務(wù) systemctl restart sshd，后續(xù)僅能通過(guò)密鑰登錄。

設(shè)置賬戶密碼策略(Windows/Linux 通用)：

Linux：編輯 /etc/login.defs，設(shè)置 PASS_MAX_DAYS 90(密碼有效期 90 天)、PASS_MIN_LEN 12(最小密碼長(zhǎng)度 12 位)、PASS_COMPLEXITY_CHECKS 1(啟用復(fù)雜度檢查)。

Windows：通過(guò) “組策略→計(jì)算機(jī)配置→Windows 設(shè)置→安全設(shè)置→賬戶策略→密碼策略”，啟用 “密碼必須符合復(fù)雜性要求”“密碼最長(zhǎng)使用期限 90 天”“強(qiáng)制密碼歷史 5 次”(避免重復(fù)使用舊密碼)。

3. 清理無(wú)用賬戶與權(quán)限

定期檢查服務(wù)器賬戶：Linux 執(zhí)行 cat /etc/passwd 查看所有賬戶，Windows 在 “計(jì)算機(jī)管理→用戶” 中檢查，刪除長(zhǎng)期未使用(如超過(guò) 3 個(gè)月)、用途不明的賬戶。

限制文件 / 目錄權(quán)限：Linux 重要目錄設(shè)置嚴(yán)格權(quán)限，如 /etc/passwd 權(quán)限設(shè)為 644(所有者讀 / 寫(xiě)，其他只讀)、/bin/su 權(quán)限設(shè)為 4755(僅 root 可修改);Windows 通過(guò) “文件夾屬性→安全”，移除普通賬戶對(duì) C:\Windows、C:\Program Files 的 “寫(xiě)入 / 修改” 權(quán)限。

二、網(wǎng)絡(luò)訪問(wèn)控制：只開(kāi)放必要端口與服務(wù)

服務(wù)器的網(wǎng)絡(luò)端口是外部攻擊的 “入口”，需通過(guò)防火墻和服務(wù)管理，關(guān)閉所有非必要端口，限制訪問(wèn)來(lái)源。

1. 配置防火墻(核心措施)

(1)Linux 系統(tǒng)(以 firewalld 為例，替代舊版 iptables)

查看當(dāng)前開(kāi)放端口：firewall-cmd --list-ports。

僅開(kāi)放必要端口(示例：Web 服務(wù) 80/443、SSH 22)：

bash

# 開(kāi)放80(HTTP)、443(HTTPS)、22(SSH)端口

firewall-cmd --add-port=80/tcp --permanent

firewall-cmd --add-port=443/tcp --permanent

firewall-cmd --add-port=22/tcp --permanent

# (可選)限制SSH僅允許特定IP訪問(wèn)(如管理員辦公I(xiàn)P 192.168.1.100)

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="22" accept' --permanent

# 移除所有無(wú)用端口(如FTP 21、Telnet 23)

firewall-cmd --remove-port=21/tcp --permanent

firewall-cmd --remove-port=23/tcp --permanent

# 重啟防火墻生效

firewall-cmd --reload

禁用 ICMP ping(防止被掃描)：firewall-cmd --add-icmp-block=echo-request --permanent，重啟防火墻。

(2)Windows Server 系統(tǒng)(高級(jí)防火墻)

打開(kāi) “控制面板→系統(tǒng)和安全→Windows Defender 防火墻→高級(jí)設(shè)置”。

入站規(guī)則：禁用所有 “默認(rèn)允許” 規(guī)則，手動(dòng)新建規(guī)則：

允許 TCP 80/443 端口(Web 服務(wù))：規(guī)則類型選 “端口”→協(xié)議 TCP→特定本地端口填 “80.443”→允許連接→適用場(chǎng)景選 “域、專用、公用”→命名為 “允許 Web 服務(wù)”。

限制 SSH(若安裝 OpenSSH)：新建規(guī)則允許 TCP 22 端口，在 “作用域”→“遠(yuǎn)程 IP 地址” 中僅添加管理員 IP(如 192.168.1.100)，拒絕其他 IP 訪問(wèn)。

出站規(guī)則：僅允許必要服務(wù)(如 DNS、HTTPS)，禁止服務(wù)器主動(dòng)連接外部可疑 IP(如批量封禁境外 IP 段)。

2. 關(guān)閉無(wú)用服務(wù)

Linux 系統(tǒng)：

查看運(yùn)行中的服務(wù)：systemctl list-units --type=service --state=running。

禁用無(wú)用服務(wù)(如 FTP 服務(wù) vsftpd、Telnet 服務(wù) telnet、郵件服務(wù) postfix)：

bash

systemctl stop vsftpd # 停止服務(wù)

systemctl disable vsftpd # 禁止開(kāi)機(jī)自啟

systemctl stop postfix

systemctl disable postfix

Windows Server 系統(tǒng)：

打開(kāi) “服務(wù)”(運(yùn)行 services.msc)，找到 “FTP Publishing Service”“Telnet”“Simple Mail Transfer Protocol (SMTP)” 等無(wú)用服務(wù)，將 “啟動(dòng)類型” 改為 “禁用”，并點(diǎn)擊 “停止” 服務(wù)。

禁用 “遠(yuǎn)程桌面服務(wù)”(若無(wú)需遠(yuǎn)程桌面)：右鍵 “此電腦→屬性→遠(yuǎn)程設(shè)置”，取消勾選 “允許遠(yuǎn)程協(xié)助連接到此計(jì)算機(jī)” 和 “允許遠(yuǎn)程連接到此計(jì)算機(jī)”。

三、系統(tǒng)加固：修復(fù)漏洞與禁用危險(xiǎn)功能

服務(wù)器系統(tǒng)本身可能存在漏洞(如操作系統(tǒng)漏洞、Web 服務(wù)器漏洞)，需通過(guò)更新、配置優(yōu)化降低風(fēng)險(xiǎn)。

1. 定期更新系統(tǒng)與組件

Linux 系統(tǒng)：

CentOS/RHEL：yum update -y(更新所有軟件包)，更新后重啟(重要內(nèi)核更新需重啟生效)。

Ubuntu/Debian：apt update && apt upgrade -y。

建議設(shè)置自動(dòng)更新：CentOS 安裝 yum-cron(yum install yum-cron -y)，編輯 /etc/yum/yum-cron.conf，將 apply_updates = no 改為 yes，啟動(dòng)服務(wù) systemctl start yum-cron && systemctl enable yum-cron。

Windows Server 系統(tǒng)：

打開(kāi) “設(shè)置→更新和安全→Windows 更新”，開(kāi)啟 “自動(dòng)下載更新，包括更新后重啟”，確保及時(shí)修復(fù)系統(tǒng)漏洞(如永恒之藍(lán)等高危漏洞)。

安裝 “Windows Server Update Services(WSUS)”(企業(yè)級(jí)場(chǎng)景)，統(tǒng)一管理多臺(tái)服務(wù)器的更新，避免遺漏。

2. 禁用危險(xiǎn)系統(tǒng)功能

Linux 系統(tǒng)：

禁用 SUID/SGID 權(quán)限(防止普通用戶通過(guò)特殊權(quán)限執(zhí)行高危命令)：執(zhí)行 find / -perm -4000 -o -perm -2000 查找?guī)?SUID/SGID 的文件，對(duì)非必要文件(如 /usr/bin/find)移除權(quán)限：chmod u-s /usr/bin/find。

禁用 ICMP 重定向(防止路由欺騙)：編輯 /etc/sysctl.conf，添加 net.ipv4.conf.all.accept_redirects = 0、net.ipv4.conf.default.accept_redirects = 0.執(zhí)行 sysctl -p 生效。

Windows Server 系統(tǒng)：

禁用 “CMD 命令提示符” 和 “PowerShell” 的非授權(quán)使用：通過(guò)組策略 “用戶配置→管理模板→系統(tǒng)”，啟用 “阻止訪問(wèn)命令提示符”“阻止訪問(wèn) PowerShell”，僅對(duì)管理員賬戶例外。

啟用 “數(shù)據(jù)執(zhí)行保護(hù)(DEP)”：右鍵 “此電腦→屬性→高級(jí)系統(tǒng)設(shè)置→性能→設(shè)置→數(shù)據(jù)執(zhí)行保護(hù)”，選擇 “為所有程序和服務(wù)啟用 DEP，除了我選擇的程序”，防止惡意代碼執(zhí)行。

3. 加固 Web 服務(wù)器(Nginx/Apache/IIS)

Nginx(Linux)：

隱藏版本號(hào)：編輯 /etc/nginx/nginx.conf，在 http 塊中添加 server_tokens off;，重啟 Nginx：systemctl restart nginx，避免泄露版本信息被針對(duì)性攻擊。

禁用目錄瀏覽：在虛擬主機(jī)配置中(如 /etc/nginx/conf.d/default.conf)，確保 autoindex off;(默認(rèn)關(guān)閉，若開(kāi)啟需手動(dòng)禁用)，防止目錄文件被遍歷。

Apache(Linux)：

隱藏版本號(hào)：編輯 /etc/httpd/conf/httpd.conf，添加 ServerTokens Prod、ServerSignature Off，重啟 Apache：systemctl restart httpd。

限制請(qǐng)求頻率：安裝 mod_evasive 模塊(防 CC 攻擊)，配置 DOSHashTableSize 3097、DOSPageCount 20(同一 IP 10 秒內(nèi)請(qǐng)求 20 次觸發(fā)限制)。

四、數(shù)據(jù)防護(hù)：防止數(shù)據(jù)泄露與丟失

服務(wù)器存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)、用戶信息需通過(guò)加密、備份雙重防護(hù)，確保 “不泄露、不丟失”。

1. 數(shù)據(jù)加密存儲(chǔ)

Linux 系統(tǒng)(文件系統(tǒng)加密)：

對(duì)敏感數(shù)據(jù)目錄(如 /data)加密：使用 cryptsetup 工具創(chuàng)建加密分區(qū)，步驟：

bash

yum install cryptsetup -y # 安裝工具

cryptsetup luksFormat /dev/sdb1 # 對(duì)磁盤(pán)分區(qū)/dev/sdb1加密(需輸入密碼)

cryptsetup luksOpen /dev/sdb1 encrypted_data # 解鎖分區(qū)

mkfs.ext4 /dev/mapper/encrypted_data # 格式化加密分區(qū)

mount /dev/mapper/encrypted_data /data # 掛載到/data目錄

配置開(kāi)機(jī)自動(dòng)解鎖：編輯 /etc/crypttab，添加 encrypted_data /dev/sdb1 /root/keyfile luks(/root/keyfile 為加密密鑰文件，需設(shè)置權(quán)限 chmod 600 /root/keyfile)。

Windows Server 系統(tǒng)：

啟用 BitLocker 加密：右鍵磁盤(pán)(如 D 盤(pán))→“啟用 BitLocker”，選擇 “使用密碼解鎖驅(qū)動(dòng)器”，設(shè)置復(fù)雜密碼，備份恢復(fù)密鑰(存儲(chǔ)到安全位置，避免密碼丟失后無(wú)法解密)。

2. 定期數(shù)據(jù)備份

Linux 系統(tǒng)(數(shù)據(jù)庫(kù) + 文件備份)：

編寫(xiě)備份腳本(如備份 MySQL 數(shù)據(jù)庫(kù)和 /var/www/html 網(wǎng)站目錄)：

bash

#!/bin/bash

BACKUP_DIR=/backup

DATE=$(date +%Y%m%d)

# 備份MySQL(需提前配置.my.cnf免密登錄)

mysqldump -u root --all-databases > $BACKUP_DIR/mysql_backup_$DATE.sql

# 備份網(wǎng)站目錄

tar -zcvf $BACKUP_DIR/www_backup_$DATE.tar.gz /var/www/html

# 刪除7天前的備份(避免磁盤(pán)占滿)

find $BACKUP_DIR -name "*.sql" -mtime +7 -delete

find $BACKUP_DIR -name "*.tar.gz" -mtime +7 -delete

設(shè)置定時(shí)任務(wù)：執(zhí)行 crontab -e，添加 0 2 * * * /root/backup.sh(每天凌晨 2 點(diǎn)執(zhí)行備份)。

Windows Server 系統(tǒng)：

使用 “Windows Server Backup” 工具：打開(kāi) “服務(wù)器管理器→工具→Windows Server Backup”，創(chuàng)建備份計(jì)劃，選擇 “備份目標(biāo)”(如外接硬盤(pán)、網(wǎng)絡(luò)共享文件夾)，設(shè)置 “每日備份”，勾選需要備份的磁盤(pán) / 目錄。

五、監(jiān)控與審計(jì)：及時(shí)發(fā)現(xiàn)異常行為

服務(wù)器安全需 “防患于未然”，通過(guò)實(shí)時(shí)監(jiān)控和日志審計(jì)，及時(shí)發(fā)現(xiàn)暴力破解、異常登錄、文件篡改等風(fēng)險(xiǎn)。

1. 實(shí)時(shí)監(jiān)控工具

Linux 系統(tǒng)：

安裝 fail2ban(防 SSH 暴力破解)：yum install fail2ban -y，編輯 /etc/fail2ban/jail.local，配置：

ini

[sshd]

enabled = true

port = ssh

filter = sshd

logpath = /var/log/secure

maxretry = 5 # 5次失敗登錄后封禁

bantime = 3600 # 封禁1小時(shí)(單位：秒)

啟動(dòng)服務(wù)：systemctl start fail2ban && systemctl enable fail2ban，查看封禁列表：fail2ban-client status sshd。

安裝 htop(監(jiān)控系統(tǒng)資源)、iftop(監(jiān)控網(wǎng)絡(luò)流量)，實(shí)時(shí)查看 CPU、內(nèi)存、帶寬使用情況，發(fā)現(xiàn)異常占用(如 CPU 突然 100%)及時(shí)排查。

Windows Server 系統(tǒng)：

使用 “性能監(jiān)視器”(運(yùn)行 perfmon.msc)，添加 “CPU 使用率”“內(nèi)存使用率”“網(wǎng)絡(luò)發(fā)送 / 接收速率” 等計(jì)數(shù)器，設(shè)置閾值告警(如 CPU>90% 時(shí)發(fā)送郵件通知)。

安裝 “Microsoft Defender for Endpoint”(企業(yè)級(jí))，實(shí)時(shí)檢測(cè)惡意軟件、異常進(jìn)程，自動(dòng)隔離威脅文件。

2. 日志審計(jì)

Linux 系統(tǒng)：

重要日志路徑：/var/log/secure(SSH 登錄日志)、/var/log/messages(系統(tǒng)日志)、/var/log/nginx/access.log(Nginx 訪問(wèn)日志)。

定期查看日志：執(zhí)行 grep "Failed password" /var/log/secure 查看 SSH 失敗登錄記錄，若發(fā)現(xiàn)大量來(lái)自同一 IP 的失敗請(qǐng)求，通過(guò)防火墻封禁該 IP。

日志歸檔：配置 logrotate(默認(rèn)已安裝)，自動(dòng)切割日志(避免單日志文件過(guò)大)，保留 30 天日志供審計(jì)。

Windows Server 系統(tǒng)：

查看安全日志：打開(kāi) “事件查看器→Windows 日志→安全”，篩選 “事件 ID”：4625(賬戶登錄失敗)、4624(賬戶登錄成功)、4672(管理員登錄)，若發(fā)現(xiàn)異常登錄(如異地 IP 登錄)，立即修改賬戶密碼。

啟用日志審核：通過(guò)組策略 “計(jì)算機(jī)配置→Windows 設(shè)置→安全設(shè)置→本地策略→審核策略”，啟用 “審核賬戶登錄事件”“審核對(duì)象訪問(wèn)”“審核進(jìn)程跟蹤”，確保所有關(guān)鍵操作都被記錄。

六、補(bǔ)充：云服務(wù)器額外防護(hù)(如阿里云、AWS)

若使用云服務(wù)器，需結(jié)合云廠商提供的安全工具進(jìn)一步加固：

啟用安全組：云服務(wù)器的 “第一道防火墻”，優(yōu)先級(jí)高于系統(tǒng)防火墻，僅開(kāi)放 80/443/22 端口，限制來(lái)源 IP。

使用云盾 / 安全中心：阿里云 “云盾”、AWS “GuardDuty” 可自動(dòng)檢測(cè)暴力破解、Web 攻擊，提供漏洞掃描、基線檢查功能。

避免公網(wǎng)暴露數(shù)據(jù)庫(kù)：將 MySQL、Redis 等數(shù)據(jù)庫(kù)部署在 “私有網(wǎng)絡(luò)(VPC)”，不分配公網(wǎng) IP，通過(guò)應(yīng)用服務(wù)器(如 Nginx)間接訪問(wèn)，防止數(shù)據(jù)庫(kù)被直接攻擊。

通過(guò)以上措施，可構(gòu)建服務(wù)器的 “多層防護(hù)體系”，從賬戶、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、監(jiān)控多維度降低安全風(fēng)險(xiǎn)。若你使用特定系統(tǒng)(如 Ubuntu Server、Windows Server 2022)或有特殊場(chǎng)景(如數(shù)據(jù)庫(kù)服務(wù)器、郵件服務(wù)器)，可告訴我，我會(huì)提供更針對(duì)性的配置方案!