服务器安全(Windows Server+Linux)
第一部分 服务器基础硬件与存储架构1. 核心硬件 / 集群概念服务器承载计算、业务应用的软硬件载体分为物理服务器、虚拟服务器。集群多台服务器协同三大核心能力负载均衡、高可用、故障转移单台宕机不中断业务。网络拓扑图可视化设备、集群、交换机连接关系用于运维排障、安全规划。2. 三类主流存储对比表格存储类型连接方式访问级别优势适用场景DAS 直连存储数据线直连服务器块级部署简单、低成本小型单机业务、测试环境扩展性差NAS 网络附加存储IP 以太网文件级开箱即用支持多设备文件共享企业办公文档、团队共享存储SAN 存储区域网络高速光纤块级高性能、高扩展、低延迟数据库、核心业务系统、虚拟化平台第二部分 Windows Server 安全加固gpedit.msc/secpol.msc/wf.msc一、账户身份安全防爆破核心密码复杂度策略基础要求密码≥8 位混合大小写、数字、特殊字符生命周期最长使用 80~180 天强制定期更换留存历史密码推荐 14 份禁止重复使用旧密码存储机制系统加密存储密码杜绝明文保存。账户锁定策略登录失败阈值 5 次锁定时长自定义10 分钟及以上抵御 RDP、SMB 暴力破解。内置高危账户管控Administrator重命名降低扫描攻击目标Guest 来宾账户直接禁用 / 删除关闭匿名内网渗透通道 配置路径计算机配置→Windows 设置→安全设置→本地策略→安全选项。权限分配原则最小权限组策略编辑器gpedit.msc本地策略→用户权限分配仅分配业务必需权限杜绝超权管理员。二、文件、磁盘与共享安全NTFS 文件权限删除文件 / 文件夹Everyone、Guest匿名账户读写执行权限分层管控读取、写入、修改、完全控制权限。磁盘配额compmgmt.msc限制单用户磁盘占用上限防止恶意文件、勒索病毒占满磁盘限制单文件最大体积。网络共享加固关闭匿名共享所有共享开启密码保护限定访问 IP 范围禁止全网开放共享。BitLocker 磁盘加密加密系统盘、数据盘服务器被盗后无法读取硬盘内数据防范物理泄露。三、远程桌面 RDP 安全3389 端口基础加固措施修改默认 3389 为高端自定义端口防火墙 IP 白名单仅信任内网 / 固定公网 IP 访问启用 NLA 网络级别认证强制 TLS1.2禁用 TLS1.0/1.1 老旧不安全协议配置闲置会话自动超时断开防止无人值守服务器被劫持。配置入口gpedit.msc→管理模板→Windows 组件→远程桌面服务。四、网络、防火墙与域控安全Windows 防火墙wf.msc默认阻断所有入站流量按需放行 80/443 / 自定义 RDP 等业务端口开启连接检测拦截端口扫描、异常外联。网卡网络加固 IP 静态配置非必要禁用 IPv6划分 VLAN 实现网络隔离关闭无用网络协议。IPsec 安全策略 网络层加密两台服务器通信流量建立可信加密通道防止中间人抓包。域控制器 AD 安全专用部署仅安装域服务卸载无关软件权限细分域管理员、账户操作员权限分离协议加固禁用明文 LDAP启用加密 LDAPS。五、日志、审计与补丁管理本地安全策略secpol.msc→审核策略 双向审计记录登录成功、登录失败、权限修改、账户变更用于入侵溯源。日志管理compmgmt.msc 事件查看器安全日志大小≥1GB日志留存至少 6 个月开启日志自动备份防止攻击者清空日志销毁痕迹。补丁与恶意代码防护 定期更新系统、软件漏洞补丁部署杀毒软件、EDR 终端检测响应工具定期全盘扫描。审计备份与应急恢复 全量 增量定期备份系统、业务数据定期测试备份恢复流程废弃硬盘使用专业工具销毁数据防止信息残留泄露。六、端口与服务基线关闭所有非业务必需端口、后台服务缩小服务器攻击面定期巡检监听端口查杀异常后门服务。第三部分 Linux 操作系统安全基础一、主流发行版分类Debian 系Debian、Ubuntu社区活跃多用于个人、轻量业务服务器RHEL 企业系RedHat、Rocky Linux、CentOS稳定性强生产环境主流。二、Linux 核心目录安全作用/etc系统所有配置文件存放目录安全加固核心目录/var日志、缓存、数据库动态数据目录/var/log存放全部系统日志/bin /sbin普通用户命令、管理员 root 专用命令/home /root普通用户家目录、超级管理员家目录/tmp临时文件目录易被恶意程序写入需限制权限/dev硬件设备抽象文件。三、高频安全运维命令分类目录文件操作pwd查看路径、cd切换目录、ls查看权限、mkdir建目录、cp/mv/rm复制移动删除vim编辑配置文件chmod修改读写执行权限4 读 2 写 1 执行。远程传输scp加密传输文件替代明文 FTPrsync增量异地备份。用户密码管控chage配置密码有效期、过期策略。进程端口排查ps查看进程ss/netstat查看监听端口排查恶意外联。防火墙firewall-cmdfirewalld、iptables配置访问黑白名单。日志检索tail/head查看日志首尾grep正则检索日志关键字cat/more/less读取配置、日志文件。软件更新aptDebian/Ubuntu、yum/dnfRHEL修复漏洞。定时任务crontab配置自动备份、定时巡检脚本。四、Linux 核心安全配置文件重中之重/etc/passwd存储所有本地用户 UID、GID、家目录、登录 Shell仅允许 root 的 UID0杜绝伪 root 提权账号。/etc/shadow存储 SHA-512 加密密码哈希权限严格 027普通用户无读取权限内置密码生命周期配置。/etc/login.defs全局密码基线定义密码最小长度、过期规则、账号默认参数。/etc/profile全局环境变量配置umask默认权限掩码推荐 027设置闲置超时自动登出。/etc/hosts.allow / hosts.denyTCP Wrapper 黑白名单限制 IP 访问 SSH、FTP 等服务。/etc/ssh/sshd_configSSH 远程加固核心文件可改 22 端口、禁止 root 远程登录、关闭密码登录仅允许密钥认证。/var/log/secureRHEL//var/log/auth.logDebian登录认证日志SSH 登录、sudo 提权、爆破记录/var/log/messages系统通用日志。/etc/rsyslog.conf日志采集转发配置支持统一上传至集中日志服务器。/etc/audit/audit.rules系统审计规则监控配置篡改、账户变更、高危操作满足等保溯源要求。PAM system-auth登录认证核心管控密码强度、登录失败锁定策略。五、Linux 服务与网络安全规范禁用明文危险服务关闭 telnet仅保留加密 SSH 远程管理telnet 传输账号密码明文极易抓包窃取。SSH 加固标准改默认 22 端口、禁止 root 远程登录、密钥认证替代密码、配置允许登录用户白名单。运行权限规范业务程序禁止 root 运行新建普通专用账号执行业务缩小攻击面。六、日志审计与备份日志统一存放/var/log长期留存用于入侵溯源audit 审计服务监控系统关键操作crontab 定时备份每周全量备份每月校验备份完整性备份传输使用 IPSec 加密。配套选填练习题含详细解答过程一、单选题10 道下列哪种存储架构通过光纤提供块级存储适合数据库核心业务A. DAS B. NAS C. SAN D. RAID答案C解析DAS 直连存储扩展性差NAS 基于 IP 网络提供文件级共享SAN 高速光纤块级访问性能最优适配数据库RAID 是磁盘冗余技术不属于存储架构分类。Windows 查看本地安全策略、配置账户锁定、审核策略的工具是A. gpedit.msc B. secpol.msc C. wf.msc D. compmgmt.msc答案B解析gpedit.msc 是组策略编辑器secpol.msc 本地安全策略审核、账户锁定、密码策略wf.msc 高级防火墙compmgmt.msc 计算机管理磁盘、事件查看器。Windows 远程桌面默认端口为A. 22 B. 80 C. 3389 D. 443答案C解析22 为 Linux SSH 默认端口80 HTTP、443 HTTPS3389 是 RDP 远程桌面默认端口生产环境建议修改。Linux 中存储加密用户密码哈希的文件是A. /etc/passwd B. /etc/shadow C. /etc/login.defs D. /etc/profile答案B解析passwd 仅存用户基础信息无密文shadow 存放 SHA-512 加密密码权限严格限制login.defs 全局密码规则profile 配置环境变量 umask。Linux SSH 服务核心加固配置文件路径是A. /etc/rsyslog.conf B. /etc/ssh/sshd_config C. /etc/audit/audit.rules D. /var/log/secure答案B解析rsyslog.conf 日志配置sshd_config 管控 SSH 登录权限、端口audit.rules 系统审计规则secure 是登录日志文件。下列哪项不属于 Windows Server 密码安全策略要求A. 密码长度≥8 位 B. 定期更换密码 C. 留存历史密码禁止复用 D. 开放 Everyone 账户读写权限答案D解析D 是文件权限错误配置和密码策略无关生产环境必须删除 Everyone 匿名权限。Linux 查看系统监听端口、网络连接的命令是A. ps B. ss C. chmod D. crontab答案B解析ps 查看进程ss/netstat 查看端口连接chmod 修改文件权限crontab 配置定时任务。为防止服务器物理失窃导致硬盘数据泄露Windows 推荐使用哪种技术A. IPsec B. BitLocker C. NLA D. TLS1.2答案B解析BitLocker 磁盘全盘加密IPsec 网络层加密NLA 远程桌面认证TLS1.2 加密传输协议。企业生产环境中应当禁用哪种明文远程登录服务A. SSH B. telnet C. RDP D. VNC答案B解析telnet 传输账号密码无加密抓包即可窃取SSH、RDP、VNC 均可配置加密传输。Windows 防火墙默认安全基线策略为A. 全部放行入站流量 B. 默认阻断所有入站按需放行业务端口C. 仅拦截外网流量 D. 仅拦截内网流量答案B解析防火墙最小权限原则默认拒绝全部入站连接仅手动开放业务必需端口。二、多选题5 道多选、少选、错选均不得分属于 Windows 账户防爆破加固措施的有A. 设置 5 次登录失败锁定账户 B. 重命名 Administrator 账户C. 禁用 Guest 来宾账户 D. 密码设置最长 80 天有效期答案ABCD解析锁定策略、修改默认管理员、禁用匿名来宾、密码定期更换均为抵御暴力扫描的核心手段。Linux 系统日志存放目录 /var/log 下包含哪些安全日志A. /var/log/messages B. /var/log/secure C. /var/log/auth.log D. /etc/shadow答案ABC解析messages 系统通用日志secure (RHEL)/auth.log (Debian) 登录认证日志shadow 是账户配置文件不属于日志。远程桌面 RDP 安全加固手段包含A. 修改 3389 默认端口 B. 防火墙限制信任 IP 访问C. 启用 NLA 认证、强制 TLS1.2 D. 配置闲置会话自动断开答案ABCD解析修改端口减少扫描、IP 白名单限制访问、加密传输、超时断开闲置会话均为官方推荐加固方案。下列符合服务器最小权限安全原则的是A. Windows 删除文件 Everyone 匿名访问权限B. Linux 业务程序使用普通账号运行不使用 rootC. 域控仅分配必要管理员权限权限细分D. 防火墙默认放行所有端口业务限制单独拦截答案ABC解析D 违背最小权限应默认阻断端口按需放行。Linux SSH 服务加固配置支持哪些操作A. 修改默认 22 端口 B. 禁止 root 远程登录C. 关闭密码登录仅允许密钥认证 D. 设置登录用户白名单答案ABCD解析sshd_config 文件内全部支持以上配置大幅降低 SSH 暴力破解风险。三、填空题8 道三大存储架构DAS 直连存储、______网络附加存储、SAN 存储区域网络。答案NAS解析NAS 依靠 IP 网络实现文件级共享适合办公文件存储。Windows 本地安全策略打开命令______组策略编辑器命令gpedit.msc。答案secpol.mscLinux 修改文件读写执行权限的命令为______权限数字规则读 4、写 2、执行 1。答案chmodLinux 用于配置周期性自动备份、巡检任务的命令是______。答案crontabWindows 防止磁盘物理泄露的加密技术名称为______。答案BitLockerLinux 中限制 IP 访问系统服务的黑白名单文件为 /etc/hosts.allow 和 ______。答案/etc/hosts.denyLinux 仅允许加密远程管理需关闭明文______服务使用 SSH 替代。答案telnetWindows 账户锁定策略建议登录失败阈值设置为______次达到阈值自动锁定账户。答案5四、判断题5 道正确√错误 ×NAS 存储通过光纤网络提供块级高性能存储适合数据库业务。答案×解析NAS 是 IP 网络文件级存储光纤块级存储为 SAN。Linux /etc/shadow 文件普通用户可直接读取不会造成密码泄露风险。答案×解析shadow 权限严格 027普通用户无读取权限防止密码哈希被窃取。Windows 远程桌面可以限制仅信任 IP 段访问缩小攻击范围。答案√解析防火墙配置 IP 白名单是 RDP 核心加固手段。Linux 业务程序直接使用 root 账号运行权限更高安全性更好。答案×解析遵循最小权限root 权限过高程序漏洞会导致整机提权需专用普通账号运行。服务器日志需要长期留存至少保存 6 个月用于安全事件溯源审计。答案√解析日志留存是等保、安全运维硬性要求便于入侵后追溯攻击行为。