加固之我见（操作系统篇） – 作者:喵团

前言

网络攻击越来越多，针对服务器的加固是纵深防御中不可缺少的一环。本文根据业内规范和实际工作经验，列出了一些点，欢迎大家讨论 ，如有不当之处，敬请指正。

内容

1. 安装杀毒软件，并保持杀毒软件的更新；

勒索软件日益猖獗，一旦中招数据不保，还影响服务的可用性；或者你发现服务器性能越来越慢，但是业务又没有达到高峰，一番深入分析下来发现，服务器上被悄悄装了挖矿软件；要想解决这些问题，服务器上必须安装杀毒软件，尤其是Windows 服务器。

2. 确保只有服务器上只运行了必须运行的软件和服务，无关软件都卸载，无关服务必须关停；

装的软件越多，出现的漏洞越多；开启的服务越多，开放的端口越多，暴露的风险也就越大。攻击者Nmap一下，常常会有惊喜发现。有些服务器运行的时间长了，开发和运维人员几经变化，有一些旧的服务其实已经没人在用了，但是还开启着，就很容易被利用。有的服务器上甚至Tomcat6，Tomcat7， Tomcat8都并存，每次都只是安装了新版本的软件，但是旧版本没有卸载，就很容易被黑客所利用。还有一点需要注意的是，有一些服务已经被证实是不安全的了，也不建议使用，利用tftp等。

3. 做好账号管理，尤其是特权账号和服务账号；

一台服务器上常常有很多账号，root账号应禁止ssh登录。每个服务账号都应根据业务需求，只授予最小的权限。这里面sftp服务器是个重灾区：对外开放的sftp服务器一般在DMZ区，外网可直接访问，有时候账号权限设置有问题，例如本身只可以远程上传资料的账号可以直接ssh登录服务器，远超过了业务所需。

4. 实施强密码策略，服务的默认密码必须改掉；

强密码一再强调，是还是有很多运维人员为了方便用弱密码，还有很多服务的默认账号和密码都是非常简答众所周知的，实际使用中都必须改成强密码（包含大小写字母，数字，特殊符号，并不低于一定的位数），防止被暴力攻击。

5. 做好服务器补丁管理；

服务器要周期性的打补丁，生产机器打补丁之前必须先在测试环境做好测试，确认和系统兼容，对服务也没有影响。

6. 日志管理和持续监控；

确保系统上的日志文件是只读的，有条件的话发送到SIEM平台，如果触发安全事件，可以及时分析。

后续

本文只是讨论了最基础的服务器操作系统层面的加固内容，现在流行的容器和云方面的加固内容，后续也会和大家一起分享。

来源：freebuf.com 2021-04-15 14:51:42 by: 喵团