Linux 服务器的基础加固
在将 Linux 服务器投入生产之前,让它达到合理安全水平的第一批步骤。
当你新开一台服务器时,它的初始状态过于开放。以下是我在对外暴露之前总是会应用的最低限度配置。
1. 更新并缩小攻击面
apt update && apt full-upgrade -y
卸载你不使用的东西,并停用你不需要的服务。每一个开放的端口都是一扇门。
2. SSH:正门
- 禁止直接 root 登录:
PermitRootLogin no。 - 仅密钥,不用密码:
PasswordAuthentication no。 - 创建你自己的带
sudo权限的用户,并以该用户身份登录。
3. 防火墙默认策略:拒绝
使用 ufw,拒绝一切,只开放必要的端口:
ufw default deny incoming
ufw allow 22/tcp
ufw enable
4. Fail2ban
它会自动封禁多次登录失败的 IP。它是你能安装的最具性价比的东西之一。
这并不能让你刀枪不入,但它能帮你挡掉互联网上 95% 的自动化噪声。
#linux#加固#ssh#安全