云服务器安全加固指南（Windows/Linux系统通用+差异化操作）

云服务器作为企业业务的核心载体，存储着大量的业务数据、用户信息，其安全性直接关系到企业的核心利益。笔者在行业实践中发现，多数云服务器安全事故（如数据泄露、服务器被入侵、勒索病毒攻击），均源于安全配置不规范——要么密码过于简单、要么开放无关端口、要么未及时修复系统漏洞、要么缺乏有效的安全监控。云服务器的安全加固需遵循“全方位、多层次、常态化”的原则，覆盖系统、网络、数据、应用四个维度，且Windows与Linux系统的安全加固操作存在差异化，需针对性实施。本文将提供Windows与Linux系统通用的安全加固指南，同时明确二者的差异化操作，帮助企业构建完善的云服务器安全防护体系。

一、通用安全加固操作（Windows/Linux系统均适用）：1. 账号与密码安全，这是最基础也是最重要的安全加固环节。禁用默认无用账号（如Windows的Guest账号、Linux的bin、daemon等无用系统账号），删除手动创建的无用账号；设置复杂密码策略，密码需包含大小写字母、数字、特殊符号，长度≥12位，定期修改密码（建议每90天修改一次），禁止使用弱密码（如123456、admin、root等）；禁止root/Administrator账号直接对外访问（Linux系统创建普通账号，赋予sudo权限，通过普通账号登录；Windows系统创建普通管理员账号，禁止Administrator账号远程登录）；开启账号登录审计，记录账号登录时间、IP地址、操作内容，便于后续追溯。2. 网络安全加固，遵循“最小权限原则”，配置安全组与防火墙，仅开放业务所需端口，关闭无关端口（如Windows的135、139、445端口，Linux的无用端口），限制访问IP（如管理端口仅允许企业内网IP访问）；禁止直接使用公网IP暴露核心服务（如数据库、管理后台），可通过VPN、堡垒机访问；开启网络流量监控，及时发现异常网络连接（如大量异常IP访问、异常端口连接），防范DDoS攻击、端口扫描。3. 数据安全加固，定期备份业务数据、系统配置，开启系统快照、数据备份，将备份文件存储在云盘或OSS，且备份文件需加密存储，避免备份数据泄露；对敏感数据（如用户手机号、身份证号、密码）进行加密处理（如MD5加密、AES加密），禁止明文存储；限制数据访问权限，仅允许核心人员访问敏感数据，记录数据访问日志。4. 应用安全加固，及时更新应用程序（如Nginx、IIS、MySQL、SQL Server），修复应用漏洞；禁用应用程序的不必要功能（如Nginx的目录浏览功能、SQL Server的不必要存储过程）；对应用程序进行安全扫描，排查SQL注入、XSS跨站脚本、文件上传漏洞等常见应用漏洞，及时修复。

二、Windows系统差异化安全加固操作：1. 系统安全加固，打开“本地组策略编辑器”（gpedit.msc），配置账号密码策略（密码复杂度、密码有效期、账户锁定策略），设置账户锁定阈值（如5次登录失败锁定账号，锁定时间30分钟）；关闭不必要的端口（如135、139、445端口），通过“控制面板-防火墙-高级设置”添加出站规则，限制不必要的网络连接；开启Windows Defender防火墙、Windows Defender杀毒软件，定期扫描系统，防范病毒、恶意软件攻击；禁用Windows自动播放功能，避免插入移动设备导致病毒感染；清理系统无用的注册表项、开机启动项，减少安全漏洞；开启系统审计日志，记录系统登录、操作、故障等日志，便于后续排查安全事故。2. 服务安全加固，关闭无用服务（如Remote Registry、Print Spooler、Windows Update、Workstation），仅保留核心服务；设置核心服务（如Windows Firewall、Remote Desktop Services、IIS、SQL Server）的启动权限，仅允许管理员启动、停止服务；定期检查服务运行状态，发现异常服务及时停止并排查。3. 额外安全配置，开启UAC（用户账户控制），提升系统安全性，避免恶意程序擅自执行；禁用Guest账号，设置Guest账号密码，避免被非法利用；定期更新系统补丁，安装安全补丁，修复系统漏洞；对系统盘、数据盘进行加密（使用BitLocker加密），防止磁盘丢失导致数据泄露。

三、Linux系统差异化安全加固操作：1. 系统安全加固，编辑/etc/login.defs文件，配置密码策略（PASS_MAX_DAYS 90、PASS_MIN_LEN 12、PASS_WARN_AGE 7），设置密码有效期、长度、警告时间；编辑/etc/pam.d/system-auth文件，开启账户锁定策略（如auth required pam_tally2.so deny=5 unlock_time=1800），实现登录失败锁定；禁止root账号SSH登录，编辑/etc/ssh/sshd_config文件，设置PermitRootLogin no，重启sshd服务（systemctl restart sshd）；关闭不必要的端口，通过firewalld/ufw防火墙限制端口访问，删除/etc/services文件中无用的端口映射；开启系统审计（auditd服务），配置审计规则，记录系统登录、文件操作、进程启动等日志，便于追溯；定期清理系统临时文件（/tmp目录）、日志文件，避免泄露敏感信息。2. 服务安全加固，关闭无用服务（如postfix、cups、httpd（未使用时）），通过systemctl disable 服务名禁用服务，避免开机自启；设置服务的运行权限，如Nginx、MySQL服务以普通用户身份运行，避免使用root用户，降低安全风险；定期检查服务日志（如/var/log/nginx/error.log、/var/log/mysqld.log），排查异常操作、漏洞利用痕迹。3. 额外安全配置，安装并开启SELinux（安全增强型Linux），限制进程的访问权限，防范恶意程序攻击（CentOS系统默认开启，Ubuntu系统需手动安装开启）；禁止系统自动挂载移动设备，编辑/etc/fstab文件，取消移动设备的自动挂载配置；安装chkrootkit、rkhunter工具，定期扫描系统，排查rootkit病毒；设置文件权限，核心配置文件（如/etc/passwd、/etc/shadow、/etc/ssh/sshd_config）设置为只读权限（chmod 400 文件名），避免被篡改。

四、安全加固常态化管理：1. 定期开展安全扫描，每月对云服务器进行一次全面安全扫描，排查系统漏洞、应用漏洞、安全配置问题，形成扫描报告，及时修复；2. 定期复盘安全事故，若发生安全事故，及时排查原因，修复漏洞，优化安全配置，避免再次发生；3. 加强运维人员安全培训，提升运维人员的安全意识，规范操作流程，避免因操作不当引发安全风险；4. 关注行业安全动态，及时了解最新的安全漏洞、攻击方式，提前做好防范措施（如勒索病毒新变种、新的系统漏洞）。