How To Secure A Linux Server：一份持续更新的服务器安全加固手册

How To Secure A Linux Server：一份持续更新的服务器安全加固手册

服务器被入侵这件事，很多时候你根本不知道。攻击者不一定锁你的数据要赎金，他们可能悄悄复制走你的资料，或者把你的机器变成 DDoS 攻击的一个节点。等你发现的时候，事情已经过去很久了。

这个 GitHub 项目就是一本 Linux 服务器安全加固的操作手册，Star 数超过 2.8 万。作者在搭建自己的 Debian 服务器时整理了大量笔记，最终汇编成了这份指南。它的目标很明确：把散落在各处的安全配置知识集中到一个地方，让你不用再翻几百篇文章。

从 SSH 开始

服务器安全的第一道门是 SSH。指南建议用 Ed25519 密钥替代密码登录，这种密钥基于椭圆曲线签名，安全性比 RSA 和 DSA 更好，性能也不错。

配置 SSH 的时候，有几个关键点：禁用 root 直接登录、禁用密码认证、限制允许 SSH 的用户组。作者还建议你在改配置之前多开一个终端窗口，万一配错了把自己锁在外面，还有一个连接能用来修复。

加密算法的选择也有讲究。指南参照 Mozilla 的 OpenSSH 安全指南，推荐使用 curve25519-sha256 作为密钥交换算法，chacha20-poly1305 作为加密算法。这些选择兼顾了安全性和性能。

网络层面的防护

防火墙用的是 UFW（Uncomplicated Firewall），名字起得很直白，就是为了让防火墙配置变简单。UFW 本质上是 iptables 的前端，命令行操作很直观。

光有防火墙还不够。指南介绍了两个入侵检测工具：PSAD 和 Fail2Ban。PSAD 通过分析 iptables 日志来识别端口扫描和恶意流量。Fail2Ban 则是盯着应用层的日志，比如 SSH 登录失败记录，发现异常就自动封禁 IP。这两个工具一个管网络层，一个管应用层，配合使用效果更好。

CrowdSec 是另一个推荐的方案，它采用社区协作的模式，一个人发现的攻击源会被共享给整个社区。

审计和监控

服务器跑起来之后，你需要知道它上面发生了什么。AIDE（Advanced Intrusion Detection Environment）做文件完整性监控，它会记录关键文件的哈希值，文件被篡改时能及时发现。

ClamAV 负责病毒扫描，Rkhunter 和 Chkrootkit 专门检测 rootkit。这几个工具各有侧重，组合起来能覆盖大部分检测需求。

Lynis 是一个综合性的安全审计工具，能在本地运行一系列检查，给出安全评分和改进建议。OSSEC 则是主机入侵检测系统，功能更全面，适合需要深度监控的场景。

日志分析用的是 Logwatch，它能把系统日志整理成可读的报告发到你的邮箱。另外 ss 命令可以查看服务器当前监听的端口，帮你确认没有意外的服务在运行。

其他实用配置

指南还覆盖了一些容易忽略的细节。比如限制 sudo 和 su 的使用权限，强制账户使用强密码，配置 NTP 保证时间同步，用 FireJail 在沙箱里运行应用程序。

自动安全更新也很重要。Debian 系统可以配置 unattended-upgrades，让安全补丁自动安装，不用手动干预。

邮件告警是另一个容易被忽略的环节。服务器发现安全问题时需要通知你，指南介绍了用 Gmail 和 Exim4 配置 MTA 的方法，让服务器能发邮件给你。

这份指南适合谁

如果你在家搭了一台 Linux 服务器，想从头把它加固一遍，这份指南很适合你。它按照逻辑顺序组织，从 SSH 到防火墙到审计，一步步来。每个步骤都有可以直接复制粘贴的命令，降低了操作门槛。

作者说得很坦诚：这不是一份面面俱到的安全圣经。比如物理安全、磁盘加密、SELinux 这些进阶话题还在待办列表里。但对于大多数家庭服务器的场景，现有的内容已经够用了。

项目还提供了 Ansible Playbook 版本，你可以用自动化工具批量执行这些安全配置。对管多台服务器的人来说，这个很有用。

持续更新是这个项目的另一个优点。作者一直在补充新内容，社区也在贡献改进。一份维护了这么多年的安全指南，本身就说明了它的价值。

的另一个优点。作者一直在补充新内容，社区也在贡献改进。一份维护了这么多年的安全指南，本身就说明了它的价值。