等保服务器加固
以下是为您设计的服务器加固实施方案,涵盖系统安全、访问控制、数据保护等多个层面,适用于Linux/Windows系统环境:
一、账户与认证安全
密码策略强化
Linux(/etc/login.defs)
PASS_MAX_DAYS 90 # 密码有效期90天
PASS_MIN_DAYS 1 # 最小修改间隔1天
PASS_WARN_AGE 7 # 过期前7天提醒
Windows(组策略)
- 密码复杂度启用:至少包含大小写、数字、特殊字符(≥8位)
- 密码历史记录:记住最近5次密码
双因子认证(2FA)
Linux SSH(使用Google Authenticator)
apt install libpam-google-authenticator
# 修改/etc/pam.d/sshd:
auth required pam_google_authenticator.so
# 修改/etc/ssh/sshd_config:
ChallengeResponseAuthentication yes
登录失败锁定
Linux(fail2ban)
apt install fail2ban
# 配置/etc/fail2ban/jail.d/sshd.conf:
[sshd]
enabled = true
maxretry = 5 # 5次失败后锁定
bantime = 1800 # 锁定30分钟(1800秒)
Windows(组策略)
- 账户锁定阈值:5次无效登录
- 账户锁定时间:30分钟
会话超时
Linux(全局设置)
echo "export TMOUT=600" >> /etc/profile # 10分钟无操作超时
# SSH超时(/etc/ssh/sshd_config):
ClientAliveInterval 300
ClientAliveCountMax 0
Windows(组策略/屏幕保护程序):
- 屏幕保护程序超时:5分钟,恢复时需密码
二、权限最小化(三权分立)
角色划分
系统管理员:负责系统维护(安装软件、配置服务)。
安全管理员:管理防火墙、安全策略、漏洞修复。
审计管理员:仅可查看日志,无权修改系统配置。
Linux权限控制
创建角色账户
useradd sysadmin -s /bin/bash
useradd secadmin -s /bin/bash
useradd auditadmin -s /bin/bash
# 限制审计员仅可读日志(/etc/sudoers):
auditadmin ALL=(root) /usr/bin/less /var/log/*, /usr/bin/tail /var/log/*
Windows权限控制
创建三个域账户,分别加入:
系统管理员:Administrators组(限制仅必要权限)。
安全管理员:Security Administrators组。
审计管理员:Event Log Readers组。
三、数据保护策略
备份方案
# 本地备份(每日全备 + 增量)
tar -czvf /backup/full_$(date +%F).tar.gz /data
# 异地备份(rsync over SSH)
rsync -avz -e "ssh -i /path/to/key" /backup/ user@remote:/backup/
数据传输加密
使用HTTPS/SFTP替代HTTP/FTP。
数据库连接启用SSL(MySQL:REQUIRE SSL)。
存储加密
# Linux(LUKS磁盘加密)
cryptsetup luksFormat /dev/sdb1
cryptsetup open /dev/sdb1 backup_encrypted
mkfs.ext4 /dev/mapper/backup_encrypted
四、入侵防御与监控
防病毒与入侵检测
# Linux(ClamAV + rkhunter)
apt install clamav rkhunter
freshclam # 更新病毒库
rkhunter --update # 更新特征库
日志审计
Linux(auditd)
auditctl -a always,exit -F arch=b64 -S delete_module -k module_change
# 集中日志服务器(ELK/Splunk):
*.* @@192.168.1.100:514 # 发送到远程syslog服务器
五、实施步骤
风险评估:扫描现有漏洞(使用Nessus/OpenVAS)。
分阶段部署:先在测试环境验证策略兼容性。
监控与维护:
每周检查备份完整性。
每月审查管理员操作日志。
每季度进行渗透测试。
注意事项
回退计划:备份系统镜像后再修改关键配置。
合规性:满足等保2.0/ISO 27001相关要求。
文档化:记录所有策略变更,确保可追溯。
如需针对特定系统(如Apache/Nginx/MySQL)的专项加固配置,可进一步细化说明。