基础访问权限配置
在阿里云控制台创建专用运维账户替代root登录,使用adduser命令创建新用户并配置强密码。通过visudo文件精细化分配sudo权限,限制高危命令执行,例如禁止普通用户执行磁盘格式化指令。
关键配置步骤:
- 登录ECS控制台进入实例安全组配置
- 创建独立运维账号并加入sudoers组
- 设置SSH密钥认证并禁用密码登录
权限分配策略
遵循最小特权原则划分用户角色:
- 运维组:拥有系统管理权限
- 开发组:限制访问生产环境目录
- 审计组:仅保留日志查看权限
使用setfacl命令为敏感目录设置访问控制列表,例如限制/etc目录仅允许运维组读写。
安全加固方案
完成基础配置后需执行:
- 修改SSH默认端口并启用双因素认证
- 配置iptables仅开放业务必需端口
- 部署OSS日志审计系统监控异常登录
建议每月使用netstat -tuln检查端口暴露情况,及时关闭非必要服务端口。
防火墙规则设置
安全组配置需遵循:
| 协议类型 | 端口范围 | 授权对象 |
|---|---|---|
| TCP | 22 | 运维专用IP段 |
| HTTP | 80/443 | 0.0.0.0/0 |
建议通过白名单机制限制数据库端口(如3306)的访问源IP,同时设置安全组规则优先级。
正确的权限配置应形成网络诊断→分级授权→安全审计的管理闭环。建议结合阿里云RAM服务实现细粒度权限控制,定期使用自动化工具审查策略有效性。关键是要在便捷性和安全性之间取得平衡,既保证业务流畅运行,又最大限度降低安全风险。
