安全测试|服务器安全加固方法

发布时间:2026/7/14 22:31:20
安全测试|服务器安全加固方法 在数字化时代服务器主机安全是任何组织都必须高度重视的问题。无论是大型企业还是小型企业无论是政府机构还是个人用户都需要确保其服务器主机的安全以防止数据泄露、网络攻击和系统瘫痪等严重后果。1安全的重要性数据保护服务器主机存储了大量的重要数据包括客户信息、财务数据、商业策略等。这些数据如果被非法获取或破坏将对组织造成巨大的损失。因此保护服务器主机的安全是保护数据的重要措施。防止网络攻击网络攻击者常常将服务器主机作为攻击目标利用漏洞进行渗透获取敏感信息或者破坏系统。保护服务器主机的安全可以防止网络攻击保护组织的网络安全。维护系统稳定服务器主机是网络系统的核心其稳定运行是保障网络服务正常运转的基础。一旦服务器主机受到攻击或出现故障将导致网络服务的中断给组织带来巨大的损失。2安全加固方法与实例1、环境说明服务器云服务器操作系统Centos7.9.2009(Core)2、安全加固项目禁用账号SSH登陆端口调整防火墙调整密码策略2.1禁用账号SSH登陆禁用用户远程SSH登陆包括禁用root用户和禁用普通用户直接登陆2.1.1禁用root远程ssh直接登陆修改/etc/ssh/sshd_config文件#PermitRootLogin yes修改为PermitRootLogin no重启ssh服务重启后查看systemctl restart sshd.service2.1.2禁用普通用户远程ssh直接登陆打开配置文件/etc/ssh/sshd_configvim /etc/ssh/sshd_config在文件末尾加入要禁用的信息DenyUsers yelflower保存退出重启ssh服务systemctl restart sshd.service2.2修改SSH默认端口ssh默认端口22默认扫描的重灾区。将默认端口调整为不常用端口。建议10000~65536端口之间的随机端口跟现有端口不冲突。2.2.1 新增端口,后修改2.2.2防火墙设置需要将新增调整的端口在防火墙上开启策略#firewall-cmd --zonepublic --add-port31697/tcp --permanent#firewall-cmd --reload2.2.3 SELinux中添加修改的SSH端口安装SELinux管理工具semanage#yum provides semanage安装semanage依赖工具包policycoreutils-python#yum -y install policycoretuils-python查询ssh服务端口#semanage port -l | grep ssh像SELinux中添加ssh端口#semanage port -a -t ssh_port_t -p tcp 31697添加完毕查看端口确认添加成功后重启ssh服务systemctl restart sshd.service使用31697登陆测试登陆成功后禁用22端口2.3 防火墙设置查看防火墙状态systemctl status firewalld启动防火墙systemctl start firewalld关闭防火墙systemctl stop firewalld重启防火墙systemctl restart firewalld查看防火墙端口firewall-cmd --list-port新增端口firewall-cmd --zonepublic --add-port80/tcp --permanent关闭端口firewall-cmd --zonepublic --remove-port80/tcp --permanent重新加载firewall-cmd --reload最小端口法将不用的端口进行关闭保留再用的端口减少安全隐患。2.4 密码策略信息系统安全等级保护关于主机的访问控制有一个控制点是这样要求的操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点口令应有复杂度要求并定期更换。密码口令配置文件/etc/login.defs修改如下PASS_MAX_DAYS 90PASS_MIN_DAYS 5PASS_MIN_LEN 10PASS_WARN_AGE 7配置信息查看通过命令chage -l username来查看账户的配置信息。这些配置并不对已有账户生效只对新建账户生效。因此对于已有账户一定要用chage命令进行逐一修改。设置密码复杂度一般要求口令由大小写字母、数字和字符共同组成。唯一的缘由就是这样的口令复杂度高不容易被暴力破解。在/etc/pam.d/system-auth中添加配置如下password required pam_cracklib.so retry5 difok3 minlen10 ucredit-1 lcredit-1 dcredit-1保存测试验证新增用户#useadd yelflower#passwd yelflower用户修改密码必须得遵守设定的密码复杂度的规则。密码过于简单系统会提示。这个配置要求密码长度10位以上由至少1位大写、小写字母和数字组成。登陆失败锁定设置确认需要达到的效果云服务器使用的是最小系统安装法在ssh登陆时限制设置配置命令auth required pam_tally2.so deny5 lock_time5 unlock_time5