大家好，我是你们的老朋友网管老王（并没有人这么叫）。今天咱们来聊点刺激的——如何把你的Linux服务器打造成黑客看了直摇头的"铜墙铁壁"。别以为装个防火墙就万事大吉了（虽然确实很重要），下面这些骚操作才是真正的护城河。（文末有祖传安全检查清单）

一、SSH防爆破之"大变活人术"

你以为把22端口改成2222就叫安全？naive！真正的老司机都在玩"移形换影"。试试这个组合拳：

1. 密钥登录代替密码（ssh-keygen -t rsa -b 4096）

2. 禁用root登录（PermitRootLogin no）

3. 启用双因素认证（Google Authenticator了解下）

4. 每天自动换端口（cron + sed脚本）

就像我家小区门禁系统——不仅要刷卡+指纹+人脸识别，保安大爷还会随机更换暗号："天王盖地虎"今天对"宝塔镇河妖"，明天可能就变成"宫保鸡丁盖饭"了。

二、文件权限之"九阴真经"

记住这个祖传心法：最小权限原则是永恒真理！举个血泪案例：

某程序员把网站目录设成777权限

↓

被上传webshell

公司数据库在暗网开拍卖会

正确姿势应该是：

```bash

chmod 750 /var/www/html

目录750

setfacl -Rm u:nginx:rx /var/www/html

Nginx单独授权

chattr +i /etc/passwd

关键文件上锁

```

这就好比给保险柜装虹膜锁的还在门口栓了只训练有素的比特犬（别问我怎么知道的）。

三、防火墙之"量子纠缠防御"

还在用iptables写200条规则？2023年了该升级装备了！试试firewalld的zone玩法：

firewall-cmd --permanent --new-zone=restricted_dance

firewall-cmd --permanent --zone=restricted_dance --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept'

这相当于给你的服务器划分VIP区、普通区和黑名单区。就像夜店保安队长——熟人走贵宾通道扫码入场，可疑人员直接物理超度。

四、入侵检测之"天网系统"

聪明的网管都会给自己留后门（划掉）...留监控眼线：

1. AIDE做文件完整性检查（每天自动对比哈希值）

2. auditd监控敏感操作（谁动了我的/etc/shadow）

3. Lynis自动化审计（每月来次全身CT扫描）

这就像在服务器里装了360度无死角摄像头+震动传感器+红外警报。上次有个脚本小子刚碰到/bin目录就触发警报音："大威天龙！世尊地藏！般若诸佛！"

五、服务加固之"金钟罩铁布衫"

常见的服务都有隐藏技能：

- Nginx隐藏版本号：`server_tokens off;`

- MySQL禁用LOCAL INFILE：`local-infile=0`

- PHP禁用危险函数：`disable_functions = exec,passthru,shell_exec,system`

这相当于给你的服务穿上防弹衣+反刺装甲。想象一下黑客费劲扒开外壳发现里面还有层振金防护时的表情吧！

六、日志分析之"预言家视角"

/var/log不是摆设！教你几招读心术：

SSH爆破追踪

grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

Web攻击特征检测

tail -f /var/log/nginx/access.log | grep -E "(union select|%27|../../)"

这就像给黑客装了GPS定位器——不仅能看见他们在哪蹦迪，连他们准备用什么姿势翻墙都一清二楚。

七、终极必杀之"时间魔法"

记住这两个保命咒语：

每日自动更新补丁

apt-get update && apt-get upgrade -y

Debian系

yum update -y --security

RedHat系

每周自动备份验证

tar czvf /backups/$(date +%Y%m%d).tar.gz --exclude="*.mp4" /var/www/html

这套组合拳打下来效果拔群——去年某客户被勒索病毒攻击后仰天长啸："早知道听老王的话每天更新补丁啊！"

---

祖传安全检查清单

1. ✔️ SSH改端口+密钥登录

2. ✔️ fail2ban配置妥当

3. ✔️ /tmp目录noexec挂载

4. ✔️ SELinux/AppArmor已启用

5. ✔️ crontab定时安全检查

6. ✔️ rootkit检测工具预装

7. ✔️异地备份验证正常

最后说句掏心窝子的话：没有绝对安全的系统（就像没有永远不秃的程序员）。但只要你坚持做到以上七点...至少能让90%的黑客转行去隔壁Windows服务器找温暖（手动狗头）。

TAG:linux服务器安全,Linux服务器安全加固,Linux服务器安全攻防 书籍封面,Linux服务器安全攻防,pdf