安全加固需从默认配置入手:禁用 root 远程 SSH 登录并启用密钥认证,关闭非必要服务;统一时区、语言及国内可信软件源;落实最小权限原则,创建专用用户与组并限制 sudo 命令范围;前置部署 sysstat、rsyslog 及轻量监控实现可观测性。
安全加固:从默认配置开始
新装的 Linux 服务器默认配置往往存在安全隐患,比如 root 远程登录、弱密码策略、未关闭的无用服务等。必须第一时间禁用 root 直接 SSH 登录,改用普通用户 +sudo 方式管理;同时配置 SSH 密钥认证,停用密码登录(PasswordAuthentication no)。检查并关闭非必要 端口 和服务(如 telnet、ftp、rpcbind),用 systemctl list-unit-files --state=enabled 快速筛查自启服务。
基础环境统一:时区、语言与软件源
生产环境要求时间精准和字符集稳定。执行 timedatectl set-timezone Asia/Shanghai 统一时区,并启用 chronyd 服务同步时间;设置 localectl set-locale LANG=en_US.UTF-8 避免 中文乱码 或脚本异常。国内服务器务必替换为可信镜像源(如 阿里云 、 腾讯 云),更新前先备份原 /etc/apt/sources.list(Debian/Ubuntu)或/etc/yum.repos.d/CentOS-Base.repo(RHEL/CentOS),再执行apt update 或yum makecache。
用户与权限标准化:最小权限原则落地
创建运维专用管理组(如 ops)和部署用户(如deploy),禁止使用 root 执行日常操作。通过usermod -aG ops deploy 加入权限组,并在 /etc/sudoers.d/deploy 中限制命令范围,例如只允许重启nginx、拉取代码、查看日志。所有敏感目录(如/var/www、/opt/app)归属部署用户,权限设为750,避免组外可写。
监控与日志前置:不等出问题才补救
初始化阶段就应部署基础可观测能力。安装 sysstat 收集 CPU、内存、I/ O 历史数据;配置 rsyslog 将关键日志(auth、kern、messages)转发至中心日志服务器或本地归档(/var/log/secure-$(date +%Y%m%d))。轻量级监控可用 netdata 或prometheus-node-exporter,暴露指标端口后立即接入告警体系,确保机器上线即“可见、可查、可响应”。
