运维手册越南cn2服务器系统安全加固与漏洞修复步骤

1.

概述：越南CN2服务器安全加固的必要性

1) 越南CN2线路通常用于优化对中国大陆的访问，但也因为国际带宽和地理位置成为攻击目标。
2) 服务器常见风险包括SSH暴力破解、Web应用漏洞、未打补丁的内核和软件包。
3) 运维目标是实现机密性、完整性与可用性的平衡，尤其要考虑DDoS与高流量突发。
4) 常见运营环境：Ubuntu 20.04 / CentOS 7，配置示例见后文。
5) 建议建立定期巡检与自动化补丁流程，结合日志与告警体系。

2.

初始系统与网络基础加固步骤

1) 系统更新：Debian/Ubuntu 执行 apt update && apt upgrade -y；CentOS 执行 yum update -y。
2) 最小化安装：移除不必要软件包，示例：apt remove --purge ftp rsync(依需)；减少攻击面。
3) 内核与sysctl：调整内核参数，示例设置 net.ipv4.tcp_syncookies=1 防SYN攻击。
4) 时间与NTP：启用chrony/ntp，保证日志时间一致，便于溯源。
5) 账户策略：禁用root远程登录，创建sudo用户并限制sudo权限。

3.

SSH与账号安全详细加固

1) 修改默认端口：将SSH从22改为22022或其他高位端口，并在防火墙同步放行。
2) 禁用密码认证：启用公钥认证，sshd_config 设置 PasswordAuthentication no。
3) 限制登录尝试：安装fail2ban，配置 /etc/fail2ban/jail.local，设置 bantime=3600 maxretry=5。
4) 使用强口令策略与2FA：对关键帐户启用Google Authenticator或U2F。
5) SSH配置硬化示例：ClientAliveInterval=300, ClientAliveCountMax=2, PermitRootLogin no, AllowUsers ops@example。

4.

防火墙与网络访问控制（iptables/ufw/csfirewalld）

1) 基础策略：默认拒绝入站，允许出站，明确开放必要端口（HTTP/HTTPS/自定义SSH）。
2) iptables示例命令：iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT（请按需替换）。
3) 使用ufw示例：ufw default deny incoming; ufw allow 80; ufw allow 443; ufw enable。
4) 限制管理IP：对SSH仅允许可信管理IP段访问(如 203.0.113.0/24)。
5) 日志与告警：启用ulog或rsyslog收集iptables拒绝记录并接入SIEM。

5.

漏洞扫描、补丁与入侵检测流程

1) 定期扫描：使用OpenVAS或Nessus每周扫一次，评估高危漏洞并形成报告。
2) 举例修复：若发现OpenSSL CVE-2021-3449，立即升级openssl至1.1.1k或更高并重启相关服务。
3) 自动化补丁：结合Ansible脚本实现批量补丁与回滚策略（playbook示例略）。
4) 主机入侵检测：部署AIDE/rkhunter/chkrootkit对可疑文件变更报警。
5) 日志审计：集中化syslog/ELK并设置关键事件（登录失败、权限提升、异常网络）告警。

6.

1) 关闭不必要模块：Apache禁用mod_autoindex等，Nginx剥离不需模块。
2) SSL/TLS：使用Let's Encrypt证书，启用TLS1.2+并禁用TLS1.0/1.1，使用ECDHE套件。
3) WAF建议：部署ModSecurity或云WAF（如Cloudflare/阿里云WAF）阻断OWASP TOP10攻击。
4) 文件上传与权限：Web目录仅赋予最小权限，上传目录隔离并做杀毒。
5) 日志与请求速率限制：Nginx limit_req_zone与limit_conn配置防止爆破。

7.

DDoS防护、CDN与域名策略

1) 边缘防护：建议接入CDN（Cloudflare、阿里云CDN等）做全局流量清洗，减少源站负荷。
2) 弹性带宽：购买支持突发峰值的带宽或在带宽层配置自动扩容策略。
3) 防护策略：启用连接限速、SYN cookies、网关层GeoIP封禁高风险国家/ASN。
4) 监控流量：使用NetFlow/sFlow或云平台流量告警阈值（如每分钟>200Mbps触发）。
5) DNS与域名：域名使用主从DNS并启用DNSSEC，减少DNS劫持风险。

8.

真实案例与服务器配置示例（含端口扫描表）

1) 案例摘要：客户A（越南CN2 VPS，位于胡志明市）遭遇SSH暴力破解，峰值并发登录尝试达每分钟1200次。
2) 初始配置：CPU 4 vCPU，内存 8GB，SSD 120GB，带宽 100Mbps，操作系统 Ubuntu 20.04，内核 5.4.0-42。
3) 采取措施：更换SSH端口、启用公钥认证、安装fail2ban、接入Cloudflare并启用WAF规则，1小时内攻击缓解。
4) 扫描示例（端口/服务）：下表为当时内网端口扫描结果示例。

来源：运维手册越南cn2服务器系统安全加固与漏洞修复步骤