linux服务器安全加固需聚焦收窄攻击面、切断入口、约束权限:收紧ssh(禁root登录、停密码认证、改端口、限用户),精简账户与权限(清uid0非root账号、删无用系统用户、设强密码策略),防火墙默认拒绝并只放行必要端口,停用非必要服务(如bluetooth、cups等)。
Linux服务器安全加固不是堆砌工具,而是建立清晰、可执行的防线。基础策略的核心是收窄攻击面、切断常见入口、约束权限滥用——这些动作见效快、风险低,且多数无需额外软件。
SSH登录必须收紧
SSH是绝大多数入侵的第一跳板,配置不当等于主动开门。关键动作有四步:
- 禁用root直接登录:修改/etc/ssh/sshd_config,设PermitRootLogin no
- 停用密码认证:确认已配好密钥后,设PasswordAuthentication no和PubkeyAuthentication yes
- 改默认端口:把Port 22换成非标准端口(如22222),大幅减少自动化扫描量
- 限制可登录用户:用AllowUsers deploy admin明确指定账号,避免通配或模糊匹配
改完务必先运行sshd -t校验语法,再systemctl restart sshd;切勿在未验证新连接前关闭原会话。
瑞宝通JAVA版B2B电子商务系统
下载
瑞宝通B2B系统使用当前流行的JAVA语言开发,以MySQL为数据库,采用B/S J2EE架构。融入了模型化、模板、缓存、AJAX、SEO等前沿技术。与同类产品相比,系统功能更加强大、使用更加简单、运行更加稳 定、安全性更强,效率更高,用户体验更好。系统开源发布,便于二次开发、功能整合、个性修改。 由于使用了JAVA开发语言,无论是在Linux/Unix,还是在Windows服务器上,均能良好运行
用户与权限要精简可控
系统里每个账户都是潜在入口,每项多余权限都可能被提权利用:
- 检查UID为0的用户:awk -F: '($3 == 0) {print $1}' /etc/passwd,只应返回root;其他需立即锁定或删除
- 清理无用系统账号:如games、uucp、lp等,用userdel -r username彻底移除
- 普通用户加sudo权限:创建运维账号后,加入sudo(Ubuntu/Debian)或wheel(RHEL/CentOS)组,不给root密码
- 设置强密码策略:在/etc/login.defs中配置PASS_MAX_DAYS 90、PASS_MIN_LEN 9,并启用pam_cracklib校验复杂度
防火墙默认拒绝,只放行必需端口
不主动开放,就是最有效的防护。以UFW为例(Ubuntu系):
- 安装后先设默认策略:ufw default deny incoming、ufw default allow outgoing
- 仅按需放行:如ufw allow 22222/tcp(SSH)、ufw allow 80,443/tcp(Web)
- 数据库等敏感服务限制来源IP:ufw allow from 192.168.1.100 to any port 3306
- 启用前确认SSH规则已添加,再执行ufw enable,用ufw status verbose核对
关掉不用的服务,减小攻击面
每个运行中的服务都可能成为漏洞载体,尤其那些默认启用却与业务无关的:
- 列出开机自启服务:systemctl list-unit-files --type=service --state=enabled
- 停用典型冗余项:bluetooth、avahi-daemon、rpcbind、sendmail、cups
- 停止并禁用:systemctl stop cups && systemctl disable cups
- 检查监听端口:ss -tlnp或netstat -tuln,确认无意外开放端口
