文章目录How To Secure A Linux Server一份持续更新的服务器安全加固手册从 SSH 开始网络层面的防护审计和监控其他实用配置这份指南适合谁How To Secure A Linux Server一份持续更新的服务器安全加固手册服务器被入侵这件事很多时候你根本不知道。攻击者不一定锁你的数据要赎金他们可能悄悄复制走你的资料或者把你的机器变成 DDoS 攻击的一个节点。等你发现的时候事情已经过去很久了。这个 GitHub 项目就是一本 Linux 服务器安全加固的操作手册Star 数超过 2.8 万。作者在搭建自己的 Debian 服务器时整理了大量笔记最终汇编成了这份指南。它的目标很明确把散落在各处的安全配置知识集中到一个地方让你不用再翻几百篇文章。从 SSH 开始服务器安全的第一道门是 SSH。指南建议用 Ed25519 密钥替代密码登录这种密钥基于椭圆曲线签名安全性比 RSA 和 DSA 更好性能也不错。配置 SSH 的时候有几个关键点禁用 root 直接登录、禁用密码认证、限制允许 SSH 的用户组。作者还建议你在改配置之前多开一个终端窗口万一配错了把自己锁在外面还有一个连接能用来修复。加密算法的选择也有讲究。指南参照 Mozilla 的 OpenSSH 安全指南推荐使用 curve25519-sha256 作为密钥交换算法chacha20-poly1305 作为加密算法。这些选择兼顾了安全性和性能。网络层面的防护防火墙用的是 UFWUncomplicated Firewall名字起得很直白就是为了让防火墙配置变简单。UFW 本质上是 iptables 的前端命令行操作很直观。光有防火墙还不够。指南介绍了两个入侵检测工具PSAD 和 Fail2Ban。PSAD 通过分析 iptables 日志来识别端口扫描和恶意流量。Fail2Ban 则是盯着应用层的日志比如 SSH 登录失败记录发现异常就自动封禁 IP。这两个工具一个管网络层一个管应用层配合使用效果更好。CrowdSec 是另一个推荐的方案它采用社区协作的模式一个人发现的攻击源会被共享给整个社区。审计和监控服务器跑起来之后你需要知道它上面发生了什么。AIDEAdvanced Intrusion Detection Environment做文件完整性监控它会记录关键文件的哈希值文件被篡改时能及时发现。ClamAV 负责病毒扫描Rkhunter 和 Chkrootkit 专门检测 rootkit。这几个工具各有侧重组合起来能覆盖大部分检测需求。Lynis 是一个综合性的安全审计工具能在本地运行一系列检查给出安全评分和改进建议。OSSEC 则是主机入侵检测系统功能更全面适合需要深度监控的场景。日志分析用的是 Logwatch它能把系统日志整理成可读的报告发到你的邮箱。另外 ss 命令可以查看服务器当前监听的端口帮你确认没有意外的服务在运行。其他实用配置指南还覆盖了一些容易忽略的细节。比如限制 sudo 和 su 的使用权限强制账户使用强密码配置 NTP 保证时间同步用 FireJail 在沙箱里运行应用程序。自动安全更新也很重要。Debian 系统可以配置 unattended-upgrades让安全补丁自动安装不用手动干预。邮件告警是另一个容易被忽略的环节。服务器发现安全问题时需要通知你指南介绍了用 Gmail 和 Exim4 配置 MTA 的方法让服务器能发邮件给你。这份指南适合谁如果你在家搭了一台 Linux 服务器想从头把它加固一遍这份指南很适合你。它按照逻辑顺序组织从 SSH 到防火墙到审计一步步来。每个步骤都有可以直接复制粘贴的命令降低了操作门槛。作者说得很坦诚这不是一份面面俱到的安全圣经。比如物理安全、磁盘加密、SELinux 这些进阶话题还在待办列表里。但对于大多数家庭服务器的场景现有的内容已经够用了。项目还提供了 Ansible Playbook 版本你可以用自动化工具批量执行这些安全配置。对管多台服务器的人来说这个很有用。持续更新是这个项目的另一个优点。作者一直在补充新内容社区也在贡献改进。一份维护了这么多年的安全指南本身就说明了它的价值。的另一个优点。作者一直在补充新内容社区也在贡献改进。一份维护了这么多年的安全指南本身就说明了它的价值。