服务器安全(Windows Server+Linux)
第一部分 服务器基础硬件与存储架构
1. 核心硬件 / 集群概念
- 服务器:承载计算、业务应用的软硬件载体,分为物理服务器、虚拟服务器。
- 集群:多台服务器协同,三大核心能力:负载均衡、高可用、故障转移,单台宕机不中断业务。
- 网络拓扑图:可视化设备、集群、交换机连接关系,用于运维排障、安全规划。
2. 三类主流存储对比
表格
| 存储类型 | 连接方式 | 访问级别 | 优势 | 适用场景 |
|---|---|---|---|---|
| DAS 直连存储 | 数据线直连服务器 | 块级 | 部署简单、低成本 | 小型单机业务、测试环境,扩展性差 |
| NAS 网络附加存储 | IP 以太网 | 文件级 | 开箱即用,支持多设备文件共享 | 企业办公文档、团队共享存储 |
| SAN 存储区域网络 | 高速光纤 | 块级 | 高性能、高扩展、低延迟 | 数据库、核心业务系统、虚拟化平台 |
第二部分 Windows Server 安全加固(gpedit.msc/secpol.msc/wf.msc)
一、账户身份安全(防爆破核心)
- 密码复杂度策略
- 基础要求:密码≥8 位,混合大小写、数字、特殊字符;
- 生命周期:最长使用 80~180 天,强制定期更换;留存历史密码(推荐 14 份),禁止重复使用旧密码;
- 存储机制:系统加密存储密码,杜绝明文保存。
- 账户锁定策略登录失败阈值 5 次,锁定时长自定义(10 分钟及以上),抵御 RDP、SMB 暴力破解。
- 内置高危账户管控
- Administrator:重命名,降低扫描攻击目标;
- Guest 来宾账户:直接禁用 / 删除,关闭匿名内网渗透通道; 配置路径:计算机配置→Windows 设置→安全设置→本地策略→安全选项。
- 权限分配原则:最小权限组策略编辑器
gpedit.msc:本地策略→用户权限分配,仅分配业务必需权限,杜绝超权管理员。
二、文件、磁盘与共享安全
- NTFS 文件权限删除文件 / 文件夹
Everyone、Guest匿名账户读写执行权限,分层管控读取、写入、修改、完全控制权限。 - 磁盘配额(compmgmt.msc)限制单用户磁盘占用上限,防止恶意文件、勒索病毒占满磁盘;限制单文件最大体积。
- 网络共享加固关闭匿名共享,所有共享开启密码保护,限定访问 IP 范围,禁止全网开放共享。
- BitLocker 磁盘加密加密系统盘、数据盘,服务器被盗后无法读取硬盘内数据,防范物理泄露。
三、远程桌面 RDP 安全(3389 端口)
- 基础加固措施
- 修改默认 3389 为高端自定义端口;
- 防火墙 IP 白名单,仅信任内网 / 固定公网 IP 访问;
- 启用 NLA 网络级别认证,强制 TLS1.2,禁用 TLS1.0/1.1 老旧不安全协议;
- 配置闲置会话自动超时断开,防止无人值守服务器被劫持。
- 配置入口:gpedit.msc→管理模板→Windows 组件→远程桌面服务。
四、网络、防火墙与域控安全
- Windows 防火墙
wf.msc默认阻断所有入站流量,按需放行 80/443 / 自定义 RDP 等业务端口;开启连接检测,拦截端口扫描、异常外联。 - 网卡网络加固 IP 静态配置;非必要禁用 IPv6;划分 VLAN 实现网络隔离;关闭无用网络协议。
- IPsec 安全策略 网络层加密两台服务器通信流量,建立可信加密通道,防止中间人抓包。
- 域控制器 AD 安全
- 专用部署:仅安装域服务,卸载无关软件;
- 权限细分:域管理员、账户操作员权限分离;
- 协议加固:禁用明文 LDAP,启用加密 LDAPS。
五、日志、审计与补丁管理
- 本地安全策略
secpol.msc→审核策略 双向审计:记录登录成功、登录失败、权限修改、账户变更,用于入侵溯源。 - 日志管理(compmgmt.msc 事件查看器)
- 安全日志大小≥1GB,日志留存至少 6 个月;
- 开启日志自动备份,防止攻击者清空日志销毁痕迹。
- 补丁与恶意代码防护 定期更新系统、软件漏洞补丁;部署杀毒软件、EDR 终端检测响应工具,定期全盘扫描。
- 审计备份与应急恢复 全量 + 增量定期备份系统、业务数据;定期测试备份恢复流程;废弃硬盘使用专业工具销毁数据,防止信息残留泄露。
六、端口与服务基线
关闭所有非业务必需端口、后台服务,缩小服务器攻击面;定期巡检监听端口,查杀异常后门服务。
第三部分 Linux 操作系统安全基础
一、主流发行版分类
- Debian 系:Debian、Ubuntu,社区活跃,多用于个人、轻量业务服务器;
- RHEL 企业系:RedHat、Rocky Linux、CentOS,稳定性强,生产环境主流。
二、Linux 核心目录安全作用
/etc:系统所有配置文件存放目录,安全加固核心目录;/var:日志、缓存、数据库动态数据目录;/var/log存放全部系统日志;/bin /sbin:普通用户命令、管理员 root 专用命令;/home /root:普通用户家目录、超级管理员家目录;/tmp:临时文件目录,易被恶意程序写入,需限制权限;/dev:硬件设备抽象文件。
三、高频安全运维命令分类
- 目录文件操作
pwd查看路径、cd切换目录、ls查看权限、mkdir建目录、cp/mv/rm复制移动删除;vim编辑配置文件;chmod修改读写执行权限(4 读 2 写 1 执行)。 - 远程传输:
scp加密传输文件,替代明文 FTP;rsync增量异地备份。 - 用户密码管控:
chage配置密码有效期、过期策略。 - 进程端口排查:
ps查看进程;ss/netstat查看监听端口,排查恶意外联。 - 防火墙:
firewall-cmd(firewalld)、iptables配置访问黑白名单。 - 日志检索:
tail/head查看日志首尾;grep正则检索日志关键字;cat/more/less读取配置、日志文件。 - 软件更新:
apt(Debian/Ubuntu)、yum/dnf(RHEL)修复漏洞。 - 定时任务:
crontab配置自动备份、定时巡检脚本。
四、Linux 核心安全配置文件(重中之重)
/etc/passwd:存储所有本地用户 UID、GID、家目录、登录 Shell;仅允许 root 的 UID=0,杜绝伪 root 提权账号。/etc/shadow:存储 SHA-512 加密密码哈希,权限严格 027,普通用户无读取权限;内置密码生命周期配置。/etc/login.defs:全局密码基线,定义密码最小长度、过期规则、账号默认参数。/etc/profile:全局环境变量,配置umask默认权限掩码(推荐 027),设置闲置超时自动登出。/etc/hosts.allow / hosts.deny:TCP Wrapper 黑白名单,限制 IP 访问 SSH、FTP 等服务。/etc/ssh/sshd_config:SSH 远程加固核心文件;可改 22 端口、禁止 root 远程登录、关闭密码登录仅允许密钥认证。/var/log/secure(RHEL)//var/log/auth.log(Debian):登录认证日志,SSH 登录、sudo 提权、爆破记录;/var/log/messages系统通用日志。/etc/rsyslog.conf:日志采集转发配置,支持统一上传至集中日志服务器。/etc/audit/audit.rules:系统审计规则,监控配置篡改、账户变更、高危操作,满足等保溯源要求。- PAM system-auth:登录认证核心,管控密码强度、登录失败锁定策略。
五、Linux 服务与网络安全规范
- 禁用明文危险服务:关闭 telnet,仅保留加密 SSH 远程管理;telnet 传输账号密码明文,极易抓包窃取。
- SSH 加固标准:改默认 22 端口、禁止 root 远程登录、密钥认证替代密码、配置允许登录用户白名单。
- 运行权限规范:业务程序禁止 root 运行,新建普通专用账号执行业务,缩小攻击面。
六、日志审计与备份
- 日志统一存放
/var/log,长期留存,用于入侵溯源; - audit 审计服务监控系统关键操作;
- crontab 定时备份:每周全量备份,每月校验备份完整性;备份传输使用 IPSec 加密。
配套选填练习题(含详细解答过程)
一、单选题(10 道)
下列哪种存储架构通过光纤提供块级存储,适合数据库核心业务?()
A. DAS B. NAS C. SAN D. RAID
答案:C
解析:DAS 直连存储扩展性差;NAS 基于 IP 网络提供文件级共享;SAN 高速光纤块级访问,性能最优,适配数据库;RAID 是磁盘冗余技术,不属于存储架构分类。
Windows 查看本地安全策略、配置账户锁定、审核策略的工具是?()
A. gpedit.msc B. secpol.msc C. wf.msc D. compmgmt.msc
答案:B
解析:gpedit.msc 是组策略编辑器;secpol.msc 本地安全策略(审核、账户锁定、密码策略);wf.msc 高级防火墙;compmgmt.msc 计算机管理(磁盘、事件查看器)。
Windows 远程桌面默认端口为?()
A. 22 B. 80 C. 3389 D. 443
答案:C
解析:22 为 Linux SSH 默认端口;80 HTTP、443 HTTPS;3389 是 RDP 远程桌面默认端口,生产环境建议修改。
Linux 中存储加密用户密码哈希的文件是?()
A. /etc/passwd B. /etc/shadow C. /etc/login.defs D. /etc/profile
答案:B
解析:passwd 仅存用户基础信息,无密文;shadow 存放 SHA-512 加密密码,权限严格限制;login.defs 全局密码规则;profile 配置环境变量 umask。
Linux SSH 服务核心加固配置文件路径是?()
A. /etc/rsyslog.conf B. /etc/ssh/sshd_config C. /etc/audit/audit.rules D. /var/log/secure
答案:B
解析:rsyslog.conf 日志配置;sshd_config 管控 SSH 登录权限、端口;audit.rules 系统审计规则;secure 是登录日志文件。
下列哪项不属于 Windows Server 密码安全策略要求?()
A. 密码长度≥8 位 B. 定期更换密码 C. 留存历史密码禁止复用 D. 开放 Everyone 账户读写权限
答案:D
解析:D 是文件权限错误配置,和密码策略无关,生产环境必须删除 Everyone 匿名权限。
Linux 查看系统监听端口、网络连接的命令是?()
A. ps B. ss C. chmod D. crontab
答案:B
解析:ps 查看进程;ss/netstat 查看端口连接;chmod 修改文件权限;crontab 配置定时任务。
为防止服务器物理失窃导致硬盘数据泄露,Windows 推荐使用哪种技术?()
A. IPsec B. BitLocker C. NLA D. TLS1.2
答案:B
解析:BitLocker 磁盘全盘加密;IPsec 网络层加密;NLA 远程桌面认证;TLS1.2 加密传输协议。
企业生产环境中,应当禁用哪种明文远程登录服务?()
A. SSH B. telnet C. RDP D. VNC
答案:B
解析:telnet 传输账号密码无加密,抓包即可窃取;SSH、RDP、VNC 均可配置加密传输。
Windows 防火墙默认安全基线策略为?()
A. 全部放行入站流量 B. 默认阻断所有入站,按需放行业务端口
C. 仅拦截外网流量 D. 仅拦截内网流量
答案:B
解析:防火墙最小权限原则,默认拒绝全部入站连接,仅手动开放业务必需端口。
二、多选题(5 道,多选、少选、错选均不得分)
属于 Windows 账户防爆破加固措施的有()
A. 设置 5 次登录失败锁定账户 B. 重命名 Administrator 账户
C. 禁用 Guest 来宾账户 D. 密码设置最长 80 天有效期
答案:ABCD
解析:锁定策略、修改默认管理员、禁用匿名来宾、密码定期更换均为抵御暴力扫描的核心手段。
Linux 系统日志存放目录 /var/log 下包含哪些安全日志()
A. /var/log/messages B. /var/log/secure C. /var/log/auth.log D. /etc/shadow
答案:ABC
解析:messages 系统通用日志;secure (RHEL)/auth.log (Debian) 登录认证日志;shadow 是账户配置文件,不属于日志。
远程桌面 RDP 安全加固手段包含()
A. 修改 3389 默认端口 B. 防火墙限制信任 IP 访问
C. 启用 NLA 认证、强制 TLS1.2 D. 配置闲置会话自动断开
答案:ABCD
解析:修改端口减少扫描、IP 白名单限制访问、加密传输、超时断开闲置会话均为官方推荐加固方案。
下列符合服务器最小权限安全原则的是()
A. Windows 删除文件 Everyone 匿名访问权限
B. Linux 业务程序使用普通账号运行,不使用 root
C. 域控仅分配必要管理员权限,权限细分
D. 防火墙默认放行所有端口,业务限制单独拦截
答案:ABC
解析:D 违背最小权限,应默认阻断端口,按需放行。
Linux SSH 服务加固配置支持哪些操作()
A. 修改默认 22 端口 B. 禁止 root 远程登录
C. 关闭密码登录,仅允许密钥认证 D. 设置登录用户白名单
答案:ABCD
解析:sshd_config 文件内全部支持以上配置,大幅降低 SSH 暴力破解风险。
三、填空题(8 道)
三大存储架构:DAS 直连存储、______网络附加存储、SAN 存储区域网络。
答案:NAS
解析:NAS 依靠 IP 网络实现文件级共享,适合办公文件存储。
Windows 本地安全策略打开命令:______;组策略编辑器命令:gpedit.msc。
答案:secpol.msc
Linux 修改文件读写执行权限的命令为______,权限数字规则:读 4、写 2、执行 1。
答案:chmod
Linux 用于配置周期性自动备份、巡检任务的命令是______。
答案:crontab
Windows 防止磁盘物理泄露的加密技术名称为______。
答案:BitLocker
Linux 中限制 IP 访问系统服务的黑白名单文件为 /etc/hosts.allow 和 ______。
答案:/etc/hosts.deny
Linux 仅允许加密远程管理,需关闭明文______服务,使用 SSH 替代。
答案:telnet
Windows 账户锁定策略,建议登录失败阈值设置为______次,达到阈值自动锁定账户。
答案:5
四、判断题(5 道,正确√,错误 ×)
NAS 存储通过光纤网络提供块级高性能存储,适合数据库业务。()
答案:×
解析:NAS 是 IP 网络文件级存储;光纤块级存储为 SAN。
Linux /etc/shadow 文件普通用户可直接读取,不会造成密码泄露风险。()
答案:×
解析:shadow 权限严格 027,普通用户无读取权限,防止密码哈希被窃取。
Windows 远程桌面可以限制仅信任 IP 段访问,缩小攻击范围。()
答案:√
解析:防火墙配置 IP 白名单是 RDP 核心加固手段。
Linux 业务程序直接使用 root 账号运行,权限更高,安全性更好。()
答案:×
解析:遵循最小权限,root 权限过高,程序漏洞会导致整机提权,需专用普通账号运行。
服务器日志需要长期留存,至少保存 6 个月,用于安全事件溯源审计。()
答案:√
解析:日志留存是等保、安全运维硬性要求,便于入侵后追溯攻击行为。