服务器安全(Windows Server+Linux)

📅 2026/7/5 2:03:04 👁️ 阅读次数 📝 编程学习
服务器安全(Windows Server+Linux)

第一部分 服务器基础硬件与存储架构

1. 核心硬件 / 集群概念

  1. 服务器:承载计算、业务应用的软硬件载体,分为物理服务器、虚拟服务器。
  2. 集群:多台服务器协同,三大核心能力:负载均衡、高可用、故障转移,单台宕机不中断业务。
  3. 网络拓扑图:可视化设备、集群、交换机连接关系,用于运维排障、安全规划。

2. 三类主流存储对比

表格

存储类型连接方式访问级别优势适用场景
DAS 直连存储数据线直连服务器块级部署简单、低成本小型单机业务、测试环境,扩展性差
NAS 网络附加存储IP 以太网文件级开箱即用,支持多设备文件共享企业办公文档、团队共享存储
SAN 存储区域网络高速光纤块级高性能、高扩展、低延迟数据库、核心业务系统、虚拟化平台

第二部分 Windows Server 安全加固(gpedit.msc/secpol.msc/wf.msc)

一、账户身份安全(防爆破核心)

  1. 密码复杂度策略
    • 基础要求:密码≥8 位,混合大小写、数字、特殊字符;
    • 生命周期:最长使用 80~180 天,强制定期更换;留存历史密码(推荐 14 份),禁止重复使用旧密码;
    • 存储机制:系统加密存储密码,杜绝明文保存。
  2. 账户锁定策略登录失败阈值 5 次,锁定时长自定义(10 分钟及以上),抵御 RDP、SMB 暴力破解。
  3. 内置高危账户管控
    • Administrator:重命名,降低扫描攻击目标;
    • Guest 来宾账户:直接禁用 / 删除,关闭匿名内网渗透通道; 配置路径:计算机配置→Windows 设置→安全设置→本地策略→安全选项。
  4. 权限分配原则:最小权限组策略编辑器gpedit.msc:本地策略→用户权限分配,仅分配业务必需权限,杜绝超权管理员。

二、文件、磁盘与共享安全

  1. NTFS 文件权限删除文件 / 文件夹EveryoneGuest匿名账户读写执行权限,分层管控读取、写入、修改、完全控制权限。
  2. 磁盘配额(compmgmt.msc)限制单用户磁盘占用上限,防止恶意文件、勒索病毒占满磁盘;限制单文件最大体积。
  3. 网络共享加固关闭匿名共享,所有共享开启密码保护,限定访问 IP 范围,禁止全网开放共享。
  4. BitLocker 磁盘加密加密系统盘、数据盘,服务器被盗后无法读取硬盘内数据,防范物理泄露。

三、远程桌面 RDP 安全(3389 端口)

  1. 基础加固措施
    • 修改默认 3389 为高端自定义端口;
    • 防火墙 IP 白名单,仅信任内网 / 固定公网 IP 访问;
    • 启用 NLA 网络级别认证,强制 TLS1.2,禁用 TLS1.0/1.1 老旧不安全协议;
    • 配置闲置会话自动超时断开,防止无人值守服务器被劫持。
  2. 配置入口:gpedit.msc→管理模板→Windows 组件→远程桌面服务。

四、网络、防火墙与域控安全

  1. Windows 防火墙wf.msc默认阻断所有入站流量,按需放行 80/443 / 自定义 RDP 等业务端口;开启连接检测,拦截端口扫描、异常外联。
  2. 网卡网络加固 IP 静态配置;非必要禁用 IPv6;划分 VLAN 实现网络隔离;关闭无用网络协议。
  3. IPsec 安全策略 网络层加密两台服务器通信流量,建立可信加密通道,防止中间人抓包。
  4. 域控制器 AD 安全
    • 专用部署:仅安装域服务,卸载无关软件;
    • 权限细分:域管理员、账户操作员权限分离;
    • 协议加固:禁用明文 LDAP,启用加密 LDAPS。

五、日志、审计与补丁管理

  1. 本地安全策略secpol.msc→审核策略 双向审计:记录登录成功、登录失败、权限修改、账户变更,用于入侵溯源。
  2. 日志管理(compmgmt.msc 事件查看器)
    • 安全日志大小≥1GB,日志留存至少 6 个月;
    • 开启日志自动备份,防止攻击者清空日志销毁痕迹。
  3. 补丁与恶意代码防护 定期更新系统、软件漏洞补丁;部署杀毒软件、EDR 终端检测响应工具,定期全盘扫描。
  4. 审计备份与应急恢复 全量 + 增量定期备份系统、业务数据;定期测试备份恢复流程;废弃硬盘使用专业工具销毁数据,防止信息残留泄露。

六、端口与服务基线

关闭所有非业务必需端口、后台服务,缩小服务器攻击面;定期巡检监听端口,查杀异常后门服务。

第三部分 Linux 操作系统安全基础

一、主流发行版分类

  1. Debian 系:Debian、Ubuntu,社区活跃,多用于个人、轻量业务服务器;
  2. RHEL 企业系:RedHat、Rocky Linux、CentOS,稳定性强,生产环境主流。

二、Linux 核心目录安全作用

  1. /etc:系统所有配置文件存放目录,安全加固核心目录;
  2. /var:日志、缓存、数据库动态数据目录;/var/log存放全部系统日志;
  3. /bin /sbin:普通用户命令、管理员 root 专用命令;
  4. /home /root:普通用户家目录、超级管理员家目录;
  5. /tmp:临时文件目录,易被恶意程序写入,需限制权限;
  6. /dev:硬件设备抽象文件。

三、高频安全运维命令分类

  1. 目录文件操作pwd查看路径、cd切换目录、ls查看权限、mkdir建目录、cp/mv/rm复制移动删除;vim编辑配置文件;chmod修改读写执行权限(4 读 2 写 1 执行)。
  2. 远程传输:scp加密传输文件,替代明文 FTP;rsync增量异地备份。
  3. 用户密码管控:chage配置密码有效期、过期策略。
  4. 进程端口排查:ps查看进程;ss/netstat查看监听端口,排查恶意外联。
  5. 防火墙:firewall-cmd(firewalld)、iptables配置访问黑白名单。
  6. 日志检索:tail/head查看日志首尾;grep正则检索日志关键字;cat/more/less读取配置、日志文件。
  7. 软件更新:apt(Debian/Ubuntu)、yum/dnf(RHEL)修复漏洞。
  8. 定时任务:crontab配置自动备份、定时巡检脚本。

四、Linux 核心安全配置文件(重中之重)

  1. /etc/passwd:存储所有本地用户 UID、GID、家目录、登录 Shell;仅允许 root 的 UID=0,杜绝伪 root 提权账号。
  2. /etc/shadow:存储 SHA-512 加密密码哈希,权限严格 027,普通用户无读取权限;内置密码生命周期配置。
  3. /etc/login.defs:全局密码基线,定义密码最小长度、过期规则、账号默认参数。
  4. /etc/profile:全局环境变量,配置umask默认权限掩码(推荐 027),设置闲置超时自动登出。
  5. /etc/hosts.allow / hosts.deny:TCP Wrapper 黑白名单,限制 IP 访问 SSH、FTP 等服务。
  6. /etc/ssh/sshd_config:SSH 远程加固核心文件;可改 22 端口、禁止 root 远程登录、关闭密码登录仅允许密钥认证。
  7. /var/log/secure(RHEL)//var/log/auth.log(Debian):登录认证日志,SSH 登录、sudo 提权、爆破记录;/var/log/messages系统通用日志。
  8. /etc/rsyslog.conf:日志采集转发配置,支持统一上传至集中日志服务器。
  9. /etc/audit/audit.rules:系统审计规则,监控配置篡改、账户变更、高危操作,满足等保溯源要求。
  10. PAM system-auth:登录认证核心,管控密码强度、登录失败锁定策略。

五、Linux 服务与网络安全规范

  1. 禁用明文危险服务:关闭 telnet,仅保留加密 SSH 远程管理;telnet 传输账号密码明文,极易抓包窃取。
  2. SSH 加固标准:改默认 22 端口、禁止 root 远程登录、密钥认证替代密码、配置允许登录用户白名单。
  3. 运行权限规范:业务程序禁止 root 运行,新建普通专用账号执行业务,缩小攻击面。

六、日志审计与备份

  1. 日志统一存放/var/log,长期留存,用于入侵溯源;
  2. audit 审计服务监控系统关键操作;
  3. crontab 定时备份:每周全量备份,每月校验备份完整性;备份传输使用 IPSec 加密。

配套选填练习题(含详细解答过程)

一、单选题(10 道)

下列哪种存储架构通过光纤提供块级存储,适合数据库核心业务?()

A. DAS B. NAS C. SAN D. RAID

答案:C

解析:DAS 直连存储扩展性差;NAS 基于 IP 网络提供文件级共享;SAN 高速光纤块级访问,性能最优,适配数据库;RAID 是磁盘冗余技术,不属于存储架构分类。

Windows 查看本地安全策略、配置账户锁定、审核策略的工具是?()

A. gpedit.msc B. secpol.msc C. wf.msc D. compmgmt.msc

答案:B

解析:gpedit.msc 是组策略编辑器;secpol.msc 本地安全策略(审核、账户锁定、密码策略);wf.msc 高级防火墙;compmgmt.msc 计算机管理(磁盘、事件查看器)。

Windows 远程桌面默认端口为?()

A. 22 B. 80 C. 3389 D. 443

答案:C

解析:22 为 Linux SSH 默认端口;80 HTTP、443 HTTPS;3389 是 RDP 远程桌面默认端口,生产环境建议修改。

Linux 中存储加密用户密码哈希的文件是?()

A. /etc/passwd B. /etc/shadow C. /etc/login.defs D. /etc/profile

答案:B

解析:passwd 仅存用户基础信息,无密文;shadow 存放 SHA-512 加密密码,权限严格限制;login.defs 全局密码规则;profile 配置环境变量 umask。

Linux SSH 服务核心加固配置文件路径是?()

A. /etc/rsyslog.conf B. /etc/ssh/sshd_config C. /etc/audit/audit.rules D. /var/log/secure

答案:B

解析:rsyslog.conf 日志配置;sshd_config 管控 SSH 登录权限、端口;audit.rules 系统审计规则;secure 是登录日志文件。

下列哪项不属于 Windows Server 密码安全策略要求?()

A. 密码长度≥8 位 B. 定期更换密码 C. 留存历史密码禁止复用 D. 开放 Everyone 账户读写权限

答案:D

解析:D 是文件权限错误配置,和密码策略无关,生产环境必须删除 Everyone 匿名权限。

Linux 查看系统监听端口、网络连接的命令是?()

A. ps B. ss C. chmod D. crontab

答案:B

解析:ps 查看进程;ss/netstat 查看端口连接;chmod 修改文件权限;crontab 配置定时任务。

为防止服务器物理失窃导致硬盘数据泄露,Windows 推荐使用哪种技术?()

A. IPsec B. BitLocker C. NLA D. TLS1.2

答案:B

解析:BitLocker 磁盘全盘加密;IPsec 网络层加密;NLA 远程桌面认证;TLS1.2 加密传输协议。

企业生产环境中,应当禁用哪种明文远程登录服务?()

A. SSH B. telnet C. RDP D. VNC

答案:B

解析:telnet 传输账号密码无加密,抓包即可窃取;SSH、RDP、VNC 均可配置加密传输。

Windows 防火墙默认安全基线策略为?()

A. 全部放行入站流量 B. 默认阻断所有入站,按需放行业务端口

C. 仅拦截外网流量 D. 仅拦截内网流量

答案:B

解析:防火墙最小权限原则,默认拒绝全部入站连接,仅手动开放业务必需端口。

二、多选题(5 道,多选、少选、错选均不得分)

属于 Windows 账户防爆破加固措施的有()

A. 设置 5 次登录失败锁定账户 B. 重命名 Administrator 账户

C. 禁用 Guest 来宾账户 D. 密码设置最长 80 天有效期

答案:ABCD

解析:锁定策略、修改默认管理员、禁用匿名来宾、密码定期更换均为抵御暴力扫描的核心手段。

Linux 系统日志存放目录 /var/log 下包含哪些安全日志()

A. /var/log/messages B. /var/log/secure C. /var/log/auth.log D. /etc/shadow

答案:ABC

解析:messages 系统通用日志;secure (RHEL)/auth.log (Debian) 登录认证日志;shadow 是账户配置文件,不属于日志。

远程桌面 RDP 安全加固手段包含()

A. 修改 3389 默认端口 B. 防火墙限制信任 IP 访问

C. 启用 NLA 认证、强制 TLS1.2 D. 配置闲置会话自动断开

答案:ABCD

解析:修改端口减少扫描、IP 白名单限制访问、加密传输、超时断开闲置会话均为官方推荐加固方案。

下列符合服务器最小权限安全原则的是()

A. Windows 删除文件 Everyone 匿名访问权限

B. Linux 业务程序使用普通账号运行,不使用 root

C. 域控仅分配必要管理员权限,权限细分

D. 防火墙默认放行所有端口,业务限制单独拦截

答案:ABC

解析:D 违背最小权限,应默认阻断端口,按需放行。

Linux SSH 服务加固配置支持哪些操作()

A. 修改默认 22 端口 B. 禁止 root 远程登录

C. 关闭密码登录,仅允许密钥认证 D. 设置登录用户白名单

答案:ABCD

解析:sshd_config 文件内全部支持以上配置,大幅降低 SSH 暴力破解风险。

三、填空题(8 道)

三大存储架构:DAS 直连存储、______网络附加存储、SAN 存储区域网络。

答案:NAS

解析:NAS 依靠 IP 网络实现文件级共享,适合办公文件存储。

Windows 本地安全策略打开命令:______;组策略编辑器命令:gpedit.msc。

答案:secpol.msc

Linux 修改文件读写执行权限的命令为______,权限数字规则:读 4、写 2、执行 1。

答案:chmod

Linux 用于配置周期性自动备份、巡检任务的命令是______。

答案:crontab

Windows 防止磁盘物理泄露的加密技术名称为______。

答案:BitLocker

Linux 中限制 IP 访问系统服务的黑白名单文件为 /etc/hosts.allow 和 ______。

答案:/etc/hosts.deny

Linux 仅允许加密远程管理,需关闭明文______服务,使用 SSH 替代。

答案:telnet

Windows 账户锁定策略,建议登录失败阈值设置为______次,达到阈值自动锁定账户。

答案:5

四、判断题(5 道,正确√,错误 ×)

NAS 存储通过光纤网络提供块级高性能存储,适合数据库业务。()

答案:×

解析:NAS 是 IP 网络文件级存储;光纤块级存储为 SAN。

Linux /etc/shadow 文件普通用户可直接读取,不会造成密码泄露风险。()

答案:×

解析:shadow 权限严格 027,普通用户无读取权限,防止密码哈希被窃取。

Windows 远程桌面可以限制仅信任 IP 段访问,缩小攻击范围。()

答案:√

解析:防火墙配置 IP 白名单是 RDP 核心加固手段。

Linux 业务程序直接使用 root 账号运行,权限更高,安全性更好。()

答案:×

解析:遵循最小权限,root 权限过高,程序漏洞会导致整机提权,需专用普通账号运行。

服务器日志需要长期留存,至少保存 6 个月,用于安全事件溯源审计。()

答案:√

解析:日志留存是等保、安全运维硬性要求,便于入侵后追溯攻击行为。