服务器安全加固做在香港原生IP服务器上,哪些基础项必须先补齐
针对香港原生IP服务器上线前的安全优化,文章按账号、端口、权限和日志四类基础项梳理必做检查,并给出从备份、盘点暴露面到复查验证的执行顺序,适合运维人员和初学者参考。
很多香港原生IP服务器一装好就直接对公网开放,最容易漏掉的不是复杂漏洞,而是默认账号、开放端口、过宽权限和缺日志。原生IP只代表公网暴露更直接,不代表天然更安全;上线前先补安全基线,才能把后面的业务配置建立在可控面上。
上线前必须补齐的基础项
先把“必做”和“可后补”分开,避免一边上线一边补洞。下面这四项,是服务器安全加固里最先要补的基础项。
| 基础项 | 上线前必做 | 可后补但建议尽快做 |
|---|---|---|
| 账号 | 新建独立管理账号,验证强口令或密钥,关闭默认/共享账号,尽量禁用 root 直登 | MFA、堡垒机、IP 白名单 |
| 端口 | 盘点监听端口,关闭无用服务,只放行业务和管理必需端口 | 细粒度 ACL、入侵检测 |
| 权限 | 配置文件和目录收紧到最小权限,服务账号分离,避免 777 | 更细的审计和隔离 |
| 日志 | 登录、提权、服务变更、访问日志可用,时钟同步正常,日志能留存 | 集中日志、告警联动 |
账号:先把入口收口
很多新服务器默认只完成安装,账号策略还停留在“能登录就行”。这个阶段最常见的问题是:root、administrator 或测试账号还在,密码没有统一要求,远程登录也没有限制。对香港原生IP服务器来说,这意味着机器一上线就站在公网视野里,账号口子必须先收紧。
上线前建议这样做:
- 新建一个独立管理账号,不要多人共用。
- 先验证这个账号能正常登录,再去关旧入口。
- Linux 场景下,优先使用密钥登录;密钥登录确认可用后,再考虑关闭密码登录。
- 尽量禁止 root 直接远程登录,把提权放到受控的
sudo上。 - 如果有紧急维护账号,必须单独保管,不能和日常账号混用。
常见核对方式如下。以下以 Linux 为例,具体路径请先按发行版确认:
grep -E '^(PermitRootLogin|PasswordAuthentication|PubkeyAuthentication|AllowUsers)' /etc/ssh/sshd_config
sshd -t
这里要特别注意:PasswordAuthentication no 只有在你已经确认密钥可用后才适合关闭。不要先关密码再测试密钥,否则很容易把自己锁在门外。保留当前登录会话、保留控制台入口,是账号加固的第一条回滚线。
端口:只留业务真的要用的
很多服务器不是被“打穿”,而是被“多开”。服务装得越多,监听端口就越多;端口越多,暴露面就越大。上线前要先看清楚这台机器到底开了哪些口,再决定哪些必须对外,哪些只允许内网或管理网访问。
先盘点监听情况:
ss -lntup
systemctl list-unit-files --type=service --state=enabled
然后按业务判断:
- 网站通常只需要 80/443。
- SSH 管理口最好只对可信 IP、堡垒机或运维网段开放。
- 数据库、缓存、消息队列这类端口,原则上不要直接暴露到公网。
- 只要不是业务必须,就先关服务,再关端口;不要长期保留“暂时不用”的开放面。
如果系统使用 firewalld,可以先查看再放行,示例如下。实际端口请按你的业务替换,不要照抄:
sudo firewall-cmd --list-all
sudo firewall-cmd --add-service=ssh --permanent
sudo firewall-cmd --reload
如果你是按端口放行而不是按服务名,就用真实端口写规则。顺序也要注意:先新增放行,再确认新连接能正常建立,最后再清理不需要的旧规则。不要在只剩一条管理会话时直接删掉当前通道。
权限:把“能读、能写、能执行”缩到最小
权限太宽,是上线后最常见的隐患之一。很多站点目录被一把改成 777,配置文件、密钥文件也没有单独收口。短期看似省事,长期看就是把风险留在系统里。
上线前至少检查这些点:
- 业务配置文件是否只给 root 或服务账号读取。
- 网站程序目录是否由专用服务账号管理,而不是普通登录用户随意写入。
- 上传目录、缓存目录、日志目录是否单独授权。
sudo是否只开放必要命令,不要把整机管理权随便给出去。- 不要直接改主
sudoers文件,优先用visudo或/etc/sudoers.d/分文件管理。
可以先做只读核对:
ls -ld /var/www /etc/ssh
stat -c '%a %U %G %n' /etc/ssh/sshd_config
find /var/www -type f -perm -o+w -print
如果你发现整站目录里有大量其他用户可写文件,先备份再改。收紧权限后,要立刻验证服务是否还能正常启动、页面是否还能访问、上传功能是否仍然可用。权限加固不是“越严越好”,而是“只收紧到业务还能正常工作的最小值”。
日志:没有日志,就没有复盘
很多人上线时会先看性能、看连通性,却忽略日志。真出问题时,找不到登录记录、找不到提权记录、找不到服务变更记录,排查就只能靠猜。服务器安全加固做完后,日志必须能追溯。
至少确认四类日志:
- 登录日志:谁登录了,何时登录,是否失败。
- 提权日志:谁执行了
sudo,做了什么。 - 服务日志:SSH、Web、数据库等核心服务有没有报错。
- 访问日志:网站请求是否正常,异常请求有没有留下痕迹。
Linux 常见核对命令如下,路径会因发行版不同而变化,使用前先确认你的系统:
timedatectl status
journalctl -u sshd --since today
tail -f /var/log/secure
tail -f /var/log/auth.log
如果是 Web 服务,还要确认访问日志和错误日志可写、可轮转、可保留。时间同步也别省,时间不准,日志就很难对齐事件。对安全基线来说,日志不是“出事后再看”,而是上线前就要确认“有记录、能保留、可追溯”。
安全基线检查顺序,照这个做最稳
上线前的检查顺序,建议按“现有暴露 → 防护动作 → 配置核对 → 回滚 → 复查”来走。顺序对了,出问题时更容易退回。
-
先做备份和快照。 改 SSH、改防火墙、改权限之前,先把现有配置保存一份。至少保留当前会话和控制台入口。
-
先盘点暴露面。 用
ss -lntup看监听端口,用systemctl看开机自启服务,用防火墙状态确认当前放行规则。 -
先改账号,再动端口。 新账号能登录、密钥或密码策略能通过验证后,再去关 root 直登、关默认账号、收紧远程入口。
-
再收端口。 先新增白名单,再删除多余规则。管理口必须留有回退通道,不能把自己挡在外面。
-
然后改权限。 先备份目录和配置,再逐项收紧。改完就启动或重载服务,立刻看是否报错。
-
最后补日志和时间同步。 确认登录、提权、服务变更都有记录,确认日志轮转正常,确认系统时间一致。
-
从另一台机器复查。 用管理机或堡垒机重新登录一次,用外部网络访问一次业务端口。只看本机状态不够,必须从外部视角确认“该开的能开,该关的真关了”。
如果是 Windows 服务器,原则也一样,只是把 SSH、sshd_config、journalctl 换成对应的本地用户、RDP、防火墙和事件查看器,思路不变。
加固后先做这几项验证
加固不是把配置改完就结束,真正要确认的是:服务器上线后,管理员能进,业务能用,非必要入口进不来。
你至少要验证下面几件事:
- 用新的管理账号登录成功。
- 禁用的旧账号、root 直登或默认登录方式确实失效。
- 公网只剩下业务需要的端口。
- Web、SSH、数据库等核心服务的日志都能写入并正常轮转。
- 从外部再试一次访问,确认没有误封业务口,也没有误放管理口。
如果这些验证都通过,再把这台香港原生IP服务器交给业务使用,后续就只需要做周期性复查:每次新增服务先过基线,每次改端口先看日志,每次改权限先留回滚。无论你拿到的是哪一类香港服务器,安全基线都应该先做这四项,再谈应用优化。