1. SSH服务安全配置
SSH作为服务器远程管理的核心协议,需遵循以下安全规范:
- 禁止root用户直接登录:修改
/etc/ssh/sshd_config文件,设置PermitRootLogin no,降低暴力破解风险 - IP访问白名单控制:通过
AllowUsers zhangsan@192.168.1.2 lisi@192.168.1.3限制来源IP - 强制密钥认证:对高权限用户配置
AuthenticationMethods publickey,禁用密码登录
2. 远程桌面服务部署
Windows服务器远程访问建议采用RDP协议,配置要点包括:
- 启用网络级身份验证(NLA),提升连接安全性
- 修改默认3389端口,通过组策略编辑器
gpedit.msc调整会话数量和超时策略 - 防火墙放行规则:同时开放TCP/UDP 3389端口及相关数据端口
3. 数据库远程访问管理
MySQL远程连接需完成三重配置:
- 云服务器安全组放行3306端口
- 执行SQL授权命令:
GRANT ALL ON *.* TO 'user'@'%' IDENTIFIED BY 'password' - 修改
my.cnf配置文件,设置bind-address = 0.0.0.0
4. 用户权限管理规范
权限管理应遵循最小特权原则:
- 创建专用运维账户,禁止共享管理员凭证
- 定期审查
/etc/sudoers文件,清理过期授权 - 实施RBAC模型,按角色分配文件系统ACL权限
通过SSH密钥强化、RDP协议优化、数据库白名单限制和细粒度权限控制,可构建多层防御体系。建议每月执行安全审计,及时更新补丁和撤销冗余权限。
