网络安全与维护指南（执行版）.docxVIP

网络安全与维护指南（执行版）

第1章

1.1核心主机安全策略配置

部署基于SELinux或AppArmor的强制访问控制策略，将核心业务服务器（如Web服务、数据库服务器）的默认策略从宽松模式切换为“关闭”或“无访问”模式，并仅允许特定目录的特定进程以特定权限执行，确保系统级代码无法绕过限制访问敏感文件。配置内核防火墙（如UFW或iptables）的“拒绝入站”策略，默认拒绝所有非特定白名单网段的入站连接，仅允许来自管理网络的ICMP回包（ping测试）和端口（80/443）的入站流量，禁止所有SSH和Telnet服务入站，防止未授权远程访问。

接着，启用主机层面的“主机身份验证”（Host-basedAuthentication）功能，确保每个核心服务实例（如Apache、Nginx、MySQL）都必须通过独立的认证密钥或密钥对进行身份验证，禁止使用root用户直接运行服务进程，从而杜绝“提权攻击”风险。然后，配置“主机完整性保护”模块，安装并启用`chkrootfs`工具，定期扫描系统文件系统，检测是否存在非预期的文件修改、权限变更或隐藏文件，一旦发现异常立即阻断并记录日志，确保系统镜像的绝对纯净。随后，实施“应用级完整性验证”，在关键服务启动前运行`chkconfig`和`chkconfig--li