Linux 伺服器基礎安全設定完整 Checklist

什麼是 Linux 伺服器安全設定？

Linux 伺服器因其高穩定性與彈性，廣泛應用於企業服務中。但若未妥善設定安全措施，容易成為駭客攻擊的目標。本文將帶你了解基礎的 Linux 伺服器安全設定 Checklist，幫助你降低風險，確保系統穩定運作。

1. 強化用戶與權限管理

• 避免使用 root 直接登入：root 帳號擁有最高權限，直接登入風險大。建議建立一般用戶並利用 sudo 執行管理命令。
• 設定強密碼政策：使用複雜且獨特的密碼，定期更換。可透過 PAM 模組強化密碼規則。
• 限制 SSH 登入用戶：編輯 sshd_config，設定 AllowUsers 或 AllowGroups，限制可登入的用戶。
• 使用 SSH 金鑰認證：取代密碼登入，增加登入安全性。

2. SSH 服務安全優化

• 更改預設 SSH 連接埠：將預設的 22 端口修改為非預設值，降低掃描風險。
• 禁用密碼登入：只允許金鑰認證。
• 限制 Root 登入：在 sshd_config 中設定 PermitRootLogin no。
• 啟用防暴力破解工具：如 fail2ban，可自動封鎖多次失敗登入 IP。

3. 系統及套件更新

• 定期更新系統核心與套件：漏洞常透過更新修補，保持系統最新是基本防護。
• 啟用自動更新（視需求）：在非高風險環境中，可設定自動安全更新。

4. 防火牆與網路安全

• 設定基本防火牆規則：至少開啟必要的服務端口，封鎖其他不必要的連接。
• 使用 iptables 或 firewalld 管理防火牆：根據需求調整規則，記得定期備份設定。
• 監控異常流量：結合如 tcpdump、iftop 工具監測異常網路行為。

5. 日誌管理與監控

• 啟用並配置系統日誌服務（rsyslog 或 journald）：確保所有重要事件都有紀錄。
• 設置日誌輪替與備份：避免日誌過大或遺失。
• 定期檢查安全日誌：觀察異常登入、錯誤訊息等。

6. 移除不必要的服務與軟體

• 剔除不使用的服務：減少攻擊面，例如 FTP、Telnet 等不安全服務應禁用。
• 確認關閉未使用的端口：利用 netstat 或 ss 指令檢查。

7. 加密與資料保護

• 使用加密通訊協議：如 HTTPS、SFTP 等，避免資料在傳輸過程中被截取。
• 磁碟加密：對敏感資料使用 LUKS 或 dm-crypt 加密。

8. 建立備份與災難復原計畫

• 定時備份重要檔案與設定：包含資料庫、系統設定檔。
• 測試備份還原流程：確保備份可用。

實務經驗分享

在奧玥科技(OYAYTECH)的多個企業系統部署中，我們發現許多安全事件源自於基礎設定不當。舉例來說，某客戶的 Linux 伺服器因為未關閉 root SSH 登入，遭到暴力破解攻擊，造成服務中斷。透過上述 Checklist 的全面檢查與調整，成功阻絕了多次攻擊並提升整體系統韌性。

我們建議企業在部署 Linux 伺服器時，除了初期設定外，也要建立持續監控與定期稽核的機制，確保安全措施不會因時間推移而失效。

結語

Linux 伺服器的安全是企業資訊架構的基石。透過本篇的基礎安全設定 Checklist，您可以有效降低遭受攻擊的風險，保障企業營運不中斷。奧玥科技持續專注於 AI、雲端與企業系統的安全防護，期待成為您最可靠的技術夥伴。

如果您有任何關於 Linux 伺服器安全的問題，歡迎隨時與我們聯繫！