一、Linux 安全加固
1. 賬戶與權限管理
- 最小權限原則
- 禁用 root 遠程登錄:修改 /etc/ssh/sshd_config,設置 PermitRootLogin no。
- 使用 sudo 替代直接 root 操作,并通過 /etc/sudoers 限制命令范圍(如僅允許 apt 和 systemctl)。
- 刪除冗余賬戶:sudo userdel unnecessary_user。
- 強化密碼策略
- 修改 /etc/login.defs 和 /etc/pam.d/common-password,要求密碼復雜度(至少 8 位,含大小寫字母、數字、符號)。
- 啟用賬戶鎖定:連續 5 次失敗登錄后鎖定 15 分鐘(通過 pam_faillock 模塊)。
2. 系統服務與網絡防護
- 關閉高危服務與端口
- 禁用默認服務:systemctl disable telnet、systemctl disable rpcbind。
- 使用 firewalld 或 ufw 僅開放必要端口(如 SSH 22、HTTP 80)。
# ufw 示例:開放 SSH 和 HTTP,拒絕其他
ufw allow 22/tcp
ufw allow 80/tcp
ufw default deny incoming
- SSH 安全加固
- 修改默認端口(如 2222),禁用密碼登錄,僅允許密鑰認證。
# /etc/ssh/sshd_config 配置
Port 2222
PasswordAuthentication no
PermitRootLogin no
3. 文件系統與內核防護
- 文件權限控制
- 鎖定關鍵文件:chattr +i /etc/passwd /etc/shadow。
- 設置敏感目錄權限:chmod 700 /etc/sensitive_dir。
- 啟用 SELinux/AppArmor
- SELinux 強制模式:setenforce 1,并配置策略文件(如 /etc/selinux/config)。
4. 日志審計與更新策略
- 日志監控
- 啟用 auditd,監控敏感操作(如 /etc/passwd 修改)。
# /etc/audit/audit.rules 示例
-w /etc/passwd -p wa -k passwd_changes
- 自動更新
- 配置 unattended-upgrades 定期安裝安全補丁。
二、Windows 安全設置
1. 賬戶與密碼策略
- 強密碼規則
- 啟用密碼復雜性(至少 8 位,含大小寫字母、數字、符號),設置最長使用期限 90 天。
- 路徑:控制面板 → 管理工具 → 本地安全策略 → 賬戶策略 → 密碼策略。
- 賬戶鎖定
- 連續 5 次失敗登錄后鎖定 30 分鐘,防止暴力破解。
2. 防火墻與網絡防護
- Windows Defender 防火墻
- 啟用入站規則過濾,僅允許必要端口(如 HTTP 80、RDP 3389)。
# 新建入站規則(阻止高危端口 135/139/445)
New-NetFirewallRule -DisplayName "Block SMB Ports" -Direction Inbound -Protocol TCP -LocalPort 135,139,445 -Action Block
- 關閉遠程桌面(RDP)
- 若無需遠程管理,禁用 RDP:控制面板 → 系統 → 遠程設置 → 禁用遠程桌面。
3. 防病毒與數據保護
- 啟用 Windows Defender
- 實時防護、云交付保護、勒索軟件防護(控制文件夾訪問)。
- 定期全盤掃描,更新病毒庫。
- BitLocker 加密
- 對系統盤和移動硬盤啟用加密,防止物理訪問導致數據泄露。
4. 補丁與審計
- 自動更新
- 開啟 Windows Update,安裝安全補丁(路徑:設置 → 更新和安全 → Windows 更新)。
- 事件日志監控
- 配置日志保留策略(建議保留 90 天),定期審查安全日志(事件查看器 → Windows 日志 → 安全)。
三、通用安全建議
- 最小化攻擊面?關閉不必要的服務(如 FTP、Telnet)和默認賬戶。
- 定期備份?使用 rsync(Linux)或 robocopy(Windows)備份關鍵數據至離線存儲。
- 入侵檢測?部署 AIDE(Linux)或 OSSEC(Windows)監控文件完整性。
四、實戰工具推薦
場景 | Linux 工具 | Windows 工具 |
防火墻 | ufw、firewalld | Windows Defender 防火墻 |
入侵檢測 | AIDE、Lynis | OSSEC、Windows Event Log |
補丁管理 | unattended-upgrades | WSUS、Windows Update |
日志分析 | journalctl、ELK Stack | Event Viewer、Splunk |
附源碼)
)
)
處理)
