一、强化密码策略

设置复杂度高的密码是防御暴力破解的第一道防线，要求密码至少包含大小写字母、数字及特殊字符，建议长度不少于12位。同时应配置密码策略强制每90天更换一次，并限制连续失败尝试次数（建议3-5次），超过阈值自动锁定账户。

二、服务端口管理

针对SSH、RDP等远程服务需执行以下加固措施：

• 修改默认端口（如将SSH端口22改为10000以上）
• 禁用root用户直接登录
• 配置IP白名单限制访问源

三、账户安全加固

新建普通用户并分配sudo权限替代root账户，通过visudo命令配置最小权限原则。建议启用多因素认证（MFA），强制要求动态口令+密码的双重验证机制。

四、网络层防护

部署防火墙过滤非常用端口，使用云平台安全组限制入站流量。建议安装入侵检测系统（IDS）实时监控异常登录行为，当检测到同一IP高频失败请求时自动阻断连接。