说明:CN2为中国电信骨干线路,越南CN2节点多用于国际链路优化。
主要风险:DDoS、高速扫描、暴力破解、Web漏洞利用、后门与持久化。
目标:在保证链路性能的前提下,构建分层防护(主机+网络+应用+监控)。
2. 部署前准备与资产盘点
步骤:1) 列出IP、服务、端口、操作系统版本;2) 建立访问清单(谁可以登录、使用何种方法);3) 备份当前配置(/etc、iptables/nft、sshd_config等)。
命令示例:执行 sudo tar czf /root/config-backup-$(date +%F).tgz /etc /root;并把备份异地存储。
3. 操作系统与SSH安全加固(实操)
步骤:1) 更新内核与软件:Ubuntu/Debian:sudo apt update && sudo apt -y upgrade;CentOS/RHEL:sudo yum update -y。
2) SSH配置:编辑 /etc/ssh/sshd_config,设置 PermitRootLogin no、PasswordAuthentication no、UseDNS no、AllowUsers user1 user2、Port 2200;保存后 sudo systemctl restart sshd。
3) 部署密钥登录:在本地执行 ssh-keygen,scp ~/.ssh/id_rsa.pub root@server:/root/.ssh/authorized_keys 并设置权限 chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys。
4. 主机入侵防护(HIPS)与登录防护
步骤:1) 安装 fail2ban:sudo apt install fail2ban,创建 /etc/fail2ban/jail.d/ssh.conf,内容示例:
[sshd]
enabled = true
port = 2200
maxretry = 5
bantime = 3600
重启:sudo systemctl restart fail2ban。
2) 安装 AIDE:sudo apt install aide,初始化 sudo aideinit 并把数据库移动到 /var/lib/aide/aide.db.new。
5. 网络层防护:防火墙与流量控制
步骤:1) 使用 nftables/iptables或ufw。示例(ufw):
sudo ufw default deny incoming; sudo ufw default allow outgoing; sudo ufw allow 2200/tcp; sudo ufw allow 80,443/tcp; sudo ufw enable。
2) 连接数限制与SYN保护(iptables举例):
sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 100 -j DROP
3) 针对CN2高带宽链路,启用硬件/网络侧限流与黑洞路由,与带宽提供商协同设置DDoS清洗。
6. IDS/IPS部署(Suricata/Snort)
步骤:1) 安装Suricata:Ubuntu:sudo apt install suricata;2) 启用相应网络接口监控并加载Rules(Emerging Threats 或 Snort VRT)。
配置要点:/etc/suricata/suricata.yaml 指定 rule-files,启用 eve-log 输出 JSON,以便对接 ELK。
集成:把Suricata触发的IP交给 fail2ban(使用脚本解析eve.json并自动封禁)。
7. Web应用与WAF防护(ModSecurity实操)
步骤:1) 安装ModSecurity(Apache/Nginx + libmodsecurity),启用 OWASP CRS。
2) 配置模式:先把WAF设置为检测模式(DetectionOnly),测试无误后切换到阻断(Blocking)。
示例:在 Nginx 加载规则后重启 nginx 并观察 /var/log/modsec_audit.log,逐步调优白名单。
8. 数据库与应用安全细则
步骤:1) MySQL硬化:执行 mysql_secure_installation,设置强密码、删除匿名账号、禁止远程 root 登录、设置 bind-address = 127.0.0.1(如应用需远程则用专用用户+限制IP)。
2) 应用层:强制使用参数化查询、上传文件严格检查扩展与 MIME、限制执行权限(chroot或容器)。
9. 漏洞扫描与补丁管理流程
步骤:1) 定期(每周/每月)运行漏洞扫描:OpenVAS/Nessus/Qualys;2) 根据风险等级制定补丁窗口;3) 自动化更新:apt unattended-upgrades 或使用配置管理工具(Ansible/Chef)到逐台推送。
实践建议:先在预发布环境回归测试,再在低峰时段滚动更新生产。
10. 日志集中与监控告警
步骤:1) 部署集中式日志(rsyslog/Fluentd -> ELK/Graylog);2) 关键日志:auth、sudo、sshd、suricata、modsecurity;3) 设置告警:当失败登录 > N 次或 IDS 告警达到阈值时通过邮件/Slack/钉钉告警。
保留策略:至少保留 90 天热存储,重要日志做冷备份一年。
11. 备份、恢复与演练
步骤:1) 设计3-2-1备份策略(3份备份、2种介质、1份异地);2) 备份加密(gpg 或 openssl);3) 定期演练:每季度做一次完整恢复演练并记录RTO/RPO。
12. 应急响应(IR)实操流程
步骤:1) 发现(监控告警/IDS/人工);2) 隔离(调整防火墙/黑洞/下线受感染实例);3) 取证(保留内存镜像、/var/log、suricata日志);4) 清除(补丁/删除后门/重建),5) 恢复并总结。
注意:操作要有变更记录与时间线,必要时联系法律与上游提供商。
13. 自动化与合规检查(Ansible/CIS)
步骤:1) 使用 Ansible 编写 playbook 执行以上加固(sshd、ufw、fail2ban、AIDE、suricata);2) 采用 CIS 基准校验(CIS Benchmarks)并生成合规报告;3) 定期自动扫描并修复偏离项。
14. 性能与安全的平衡与CN2特性
说明:CN2链路低延迟敏感,注意MTU、TCP窗口与连接追踪(conntrack)参数不要过度限制。
实操:调整 /etc/sysctl.conf,例如 net.netfilter.nf_conntrack_max 根据并发调优,并监控 conntrack 使用率,避免触发短时丢包。
15. 常见问答一:越南CN2服务器首要强化项是什么?
问:在越南CN2服务器上,首要应做哪些安全强化?
答:先完成资产盘点、关闭不必要服务、升级系统、SSH密钥登录+禁用密码、部署主机防护(fail2ban/AIDE)、启用边界防火墙(ufw/nftables)和IDS(Suricata),并将日志集中化与备份。
16. 常见问答二:如何应对大流量DDoS攻击?
问:遇到大流量DDoS时如何处置?
答:立即与带宽提供商联系请求流量清洗或黑洞路由;在服务器侧启用速率限制、连接数限制和IP黑名单;使用上游WAF/CDN(如云清洗服务)做吸收,备份并准备快速恢复计划。
17. 常见问答三:如何把加固工作自动化并持续维护?
问:如何把安全加固持续化并自动化?
答:用Ansible/Terraform管理配置并写入CIS基线Playbook;集成CI/CD在测试环境跑合规扫描;设置定期补丁策略与自动化扫描(Nessus/OpenVAS),并把整改流程纳入运维SOP与演练计划。
来源:越南cn2服务器网络安全加固与入侵防护策略
