1.
准备与前置条件
小分段:1) 登录方式:使用控制台或SSH密钥登录云主机;2) 系统信息:执行 uname -a 和 lsb_release -a 或 cat /etc/os-release 记录发行版和版本;3) 提权:确保有 root 或 sudo 权限。实际操作示例:sudo -i;
2.
基础更新与包管理
小分段:1) 更新软件包(Ubuntu/Debian):apt update && apt upgrade -y;CentOS/RHEL:yum update -y;2) 安装常用工具:apt install -y vim wget curl net-tools unzip;3) 定时自动更新(可选):Ubuntu 安装 unattended-upgrades 并配置 /etc/apt/apt.conf.d/50unattended-upgrades。
3.
创建非root管理员账号与禁用root SSH登录
小分段:1) 新建用户并添加 sudo:adduser deploy && usermod -aG sudo deploy;2) 设置 SSH 密钥登录:在本地生成 ssh-keygen -t ed25519,复制公钥到 /home/deploy/.ssh/authorized_keys 并设置权限 chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys;3) 修改 /etc/ssh/sshd_config:PermitRootLogin no、PasswordAuthentication no,重启 SSH:systemctl restart sshd。
4.
SSH 安全强化(详细步骤)
小分段:1) 更改默认端口:在 /etc/ssh/sshd_config 中 Port 22022(示例),注意同时在防火墙开放该端口;2) 限制登录用户:AllowUsers deploy adminuser;3) 禁用空口令:空口令设置为 no;4) 配置登录提示与超时时间:LoginGraceTime 30、ClientAliveInterval 300、ClientAliveCountMax 2。
5.
防火墙配置(使用 ufw/nftables/iptables 示例)
小分段:1) ufw(Ubuntu)基础:ufw default deny incoming && ufw default allow outgoing;允许SSH:ufw allow 22022/tcp;启动:ufw enable;2) nftables/iptables:示例保存规则并设置开机加载;3) 云控制台安全组:确保云平台安全组与主机防火墙规则一致,避免锁死自己。
6.
安装并配置 Fail2ban 防暴力破解
小分段:1) 安装:apt install -y fail2ban;2) 创建本地配置 /etc/fail2ban/jail.d/defaults.local,示例内容:[sshd] enabled = true port = 22022 maxretry = 5 bantime = 3600;3) 启动并查看状态:systemctl enable --now fail2ban && fail2ban-client status sshd。
7.
系统内核与网络安全参数调整(sysctl)
小分段:1) 编辑 /etc/sysctl.conf 添加建议项:net.ipv4.ip_forward=0、net.ipv4.conf.all.rp_filter=1、net.ipv4.conf.all.accept_source_route=0;2) 生效:sysctl -p;3) 限制 ICMP 与 SYN 攻击:net.ipv4.tcp_syncookies=1 等。
8.
应用服务安全(Web/数据库)
小分段:1) Web 服务器(Nginx/Apache)以最小权限运行,关闭不必要模块;2) 强制 HTTPS:使用 Certbot 申请 Let’s Encrypt 证书并在配置中启用 HSTS;3) 数据库安全:限制远程访问(bind-address=127.0.0.1)、重置默认密码、删除匿名用户并运行 mysql_secure_installation。
9.
日志监控与审计
小分段:1) 安装 rsyslog 或更高级 ELK/Graylog 集中化日志;2) 开启审计:Ubuntu 安装 auditd 并配置 /etc/audit/audit.rules 记录关键文件更改;3) 日志轮转:确认 /etc/logrotate.d 有策略并测试 logrotate -f /etc/logrotate.conf。
10.
备份与恢复策略
小分段:1) 方案:文件快照 + 数据库定期导出(mysqldump 或 pg_dump)+ 异地存储(对象存储或第三方);2) 自动化脚本示例:写一个 cron /etc/cron.d/backup 每日执行备份并上传到 S3;3) 定期演练恢复,验证备份可用。
11.
漏洞扫描与常用检测工具
小分段:1) 本地端口扫描:nmap -sS -Pn -p- ;2) 漏洞扫描:使用 OpenVAS 或 Nessus 做全面扫描;3) Web 漏洞检测:使用 Nikto、OWASP ZAP 做自动化检测;4) 及时根据扫描结果打补丁或限制暴露面。
12.
日常运维建议与安全基线检查清单
小分段:1) 每周:apt/yum 更新并重启必要服务;2) 每日:检查 auth 日志(/var/log/auth.log 或 /var/log/secure)异常登录;3) 每月:审计用户组、SSH 公钥、开放端口清单;4) 保持最小权限原则、最小暴露端口。
13.
问:在柬埔寨云服务器上如何快速确认SSH是否安全?
答:先检查 /etc/ssh/sshd_config 是否禁用密码和root登录(PasswordAuthentication no、PermitRootLogin no),确认SSH端口已更改(非22)并在防火墙中只允许管理IP,使用 ssh -p 新端口 检查登录,结合 fail2ban 查看 banned 列表:fail2ban-client status sshd。
14.
问:防火墙和云平台安全组哪个优先,如何避免误操作造成断网?
答:两者都关键,优先在云平台控制台配置安全组(云端网络入口),同时在主机配置防火墙作为二次防线。修改防火墙前通过控制台打开临时控制台或保持控制台登录,变更后先测试新规则再保存,避免在远程会话直接关闭SSH端口。
15.
问:如何定期自动化检测并修复常见漏洞?
答:建立自动化流程:1) CI/运维服务器定期运行 vulnerability scanner(OpenVAS/Nessus)并生成报告;2) 使用配置管理工具(Ansible/Chef)自动修补已知包漏洞并重启服务;3) 将报警与修复流程纳入工单,关键补丁先在测试环境验证后逐步发布。
来源:柬埔寨云服务器安全配置与常见漏洞防护操作详解
