1. SSH服务安全加固
修改SSH默认配置可有效防御暴力破解攻击。建议执行以下操作:
- 修改
/etc/ssh/sshd_config文件中的端口号,禁用默认22端口 - 启用密钥认证机制替代密码登录,密钥长度建议4096位
- 通过
/etc/hosts.allow限制访问源IP,例如仅允许内网段访问
完成配置后需执行systemctl restart sshd重启服务生效。建议同时创建具有sudo权限的普通账户,完全禁用root远程登录
2. 账户与密码管理规范
严格的密码策略包含以下要素:
- 密码长度不少于12位,包含大小写字母、数字及特殊符号
- 启用多因素认证(MFA),建议使用阿里云RAM账户体系
- 设置90天密码过期策略,禁止复用最近5次历史密码
特权账户应遵循最小权限原则,通过/etc/sudoers文件配置精确的权限范围,避免直接赋予ALL权限
3. 网络安全组配置
在阿里云控制台配置安全组时应遵循:
| 协议类型 | 端口范围 | 授权对象 |
|---|---|---|
| SSH | 自定义端口 | 运维团队IP段 |
| HTTP/HTTPS | 80,443 | 0.0.0.0/0 |
建议启用云防火墙服务,每日自动同步威胁情报库,阻断恶意IP访问
4. 系统监控与备份策略
综合防护体系应包含:
- 启用云监控服务,配置异常登录告警阈值
- 每周执行快照备份,保留3个月历史版本
- 部署OSS日志归档,保留6个月操作审计记录
建议每月进行渗透测试,使用阿里云安全中心扫描系统漏洞
通过组合应用SSH加固、权限分层、网络隔离和持续监控四层防护,可构建完整的服务器安全体系。建议每季度更新安全策略,结合阿里云原生安全产品形成动态防护能力
