Linux 服务器安全加固清单

部署在公网的服务器，安全是第一优先级。以下是一份实用的安全加固清单。

SSH 加固

# /etc/ssh/sshd_config

# 禁用 root 登录
PermitRootLogin no

# 禁用密码认证，仅允许密钥
PasswordAuthentication no

# 更改默认端口
Port 2222

# 限制登录用户
AllowUsers deploy

# 禁用空密码
PermitEmptyPasswords no

防火墙配置

# 使用 ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp   # SSH
ufw allow 80/tcp     # HTTP
ufw allow 443/tcp    # HTTPS
ufw enable

系统更新

# 自动安全更新
apt install unattended-upgrades
dpkg-reconfigure unattended-upgrades

日志监控

# 安装 fail2ban 防暴力破解
apt install fail2ban

# 查看登录失败记录
grep "Failed password" /var/log/auth.log | tail -20

其他建议

定期备份数据
使用 HTTPS（Let's Encrypt）
关闭不需要的服务
设置合理的文件权限
启用 SELinux 或 AppArmor

总结

安全是一个持续的过程，不是一次性的配置。定期检查、及时更新、保持警惕。

服务器