Linux和Unix服务器承载着大量核心业务和数据,其安全性直接关系到业务稳定运行和用户数据安全。做好服务器安全防护需要从多个层面入手,覆盖系统配置、权限管控、网络防护等多个维度,形成完整的安全防护体系。

及时更新系统与安全补丁
系统和软件的安全漏洞是攻击者入侵的主要途径,定期更新系统补丁是最基础也最重要的安全措施。不同发行版的更新命令有所差异,以下是常见系统的更新方式:
# Debian/Ubuntu系统更新 sudo apt update sudo apt upgrade -y sudo apt dist-upgrade -y sudo apt autoremove -y # RHEL/CentOS系统更新 sudo yum update -y # 或者使用dnf(较新版本) sudo dnf update -y # 手动检查并安装内核补丁 sudo yum install kernel -y
可以配置自动更新功能,避免遗漏重要补丁,以Ubuntu为例,安装自动更新工具:
sudo apt install unattended-upgrades -y sudo dpkg-reconfigure --priority=low unattended-upgrades
优化用户与权限管理
不合理的用户权限配置会导致越权操作风险,需要严格管控用户账号和权限分配。
禁用root直接登录
root账号权限过高,直接登录会放大安全风险,建议创建普通用户并赋予sudo权限,禁用root远程登录。修改SSH配置文件:
# 编辑SSH配置文件 sudo vi /etc/ssh/sshd_config # 找到PermitRootLogin行,修改为 PermitRootLogin no # 重启SSH服务 sudo systemctl restart sshd
最小权限原则分配权限
仅给用户分配完成工作必需的最小权限,避免过度授权。使用sudo命令管控特权操作,编辑sudoers文件:
# 使用visudo命令编辑,避免语法错误 sudo visudo # 添加普通用户权限,仅允许执行指定命令 username ALL=(ALL) /usr/bin/apt,/usr/bin/systemctl
清理无用账号
定期删除长期不用的账号,避免账号被窃取利用:
# 查看所有用户 cat /etc/passwd # 删除无用用户 sudo userdel -r 用户名
配置防火墙与网络防护
防火墙是服务器网络边界的第一道防线,需要合理配置规则,仅开放必要端口。
使用iptables或firewalld配置规则
以firewalld为例,仅开放SSH(22端口)、HTTP(80端口)、HTTPS(443端口):
# 启动firewalld sudo systemctl start firewalld sudo systemctl enable firewalld # 开放必要端口 sudo firewall-cmd --permanent --add-port=22/tcp sudo firewall-cmd --permanent --add-port=80/tcp sudo firewall-cmd --permanent --add-port=443/tcp # 重载规则 sudo firewall-cmd --reload # 查看当前规则 sudo firewall-cmd --list-all
修改SSH默认端口
默认22端口是攻击者扫描的重点目标,修改为非默认端口可以降低被扫描的概率:
# 编辑SSH配置文件 sudo vi /etc/ssh/sshd_config # 修改Port行,比如改为2222 Port 2222 # 重启SSH服务 sudo systemctl restart sshd # 防火墙开放新端口 sudo firewall-cmd --permanent --add-port=2222/tcp sudo firewall-cmd --reload
精简服务与关闭不必要端口
服务器上运行的非必要服务会扩大攻击面,需要关闭不需要的服务和端口。
# 查看当前运行的服务 systemctl list-units --type=service --state=running # 关闭不需要的服务,比如telnet sudo systemctl stop telnet.socket sudo systemctl disable telnet.socket # 查看开放的端口 sudo netstat -tulnp # 关闭对应端口的服务
配置日志审计与入侵检测
完善的日志审计可以快速发现异常操作,入侵检测系统可以主动识别攻击行为。
配置系统日志
确保rsyslog或syslog-ng服务正常运行,日志存储在/var/log目录下,定期检查关键日志:
# 查看登录日志 cat /var/log/auth.log # 查看系统日志 cat /var/log/syslog
安装入侵检测工具
以AIDE为例,它是常用的文件完整性检测工具,可以监控关键文件的变化:
# 安装AIDE sudo apt install aide -y # 初始化数据库 sudo aideinit # 定期检查文件完整性 sudo aide --check
数据备份与加密
重要数据需要定期备份,敏感数据建议加密存储,避免数据泄露后造成损失。
# 使用rsync备份数据到远程服务器 rsync -avz /data/ user@192.168.0.1:/backup/ # 使用gpg加密文件 gpg -c 敏感文件.txt # 解密文件 gpg 敏感文件.txt.gpg
定期安全扫描与检查
使用工具定期扫描服务器漏洞,及时发现安全隐患:
# 安装lynis进行安全审计 sudo apt install lynis -y # 执行审计 sudo lynis audit system
按照以上步骤配置后,可以大幅提升Linux和Unix服务器的安全性,同时需要建立定期巡检机制,持续关注安全动态,及时应对新的安全威胁。
Linux_securityUnix_securityserver_hardeningfirewall_configuration修改时间:2026-07-01 19:57:21