Linux服务器Web接口安全性全面指南

1. 基础安全加固

1.1 系统层面

• 保持系统更新：定期执行 sudo apt update && sudo apt upgrade (Debian/Ubuntu) 或 sudo yum update (RHEL/CentOS)
• 最小化安装：仅安装必要的软件包 sudo apt install --no-install-recommends package-name
• 防火墙配置： bash sudo ufw enable sudo ufw allow 80/tcp sudo ufw allow 443/tcp sudo ufw deny 22/tcp # 如果不需要SSH

1.2 用户权限

• 禁用root远程登录：修改 /etc/ssh/sshd_config 中 PermitRootLogin no
• 使用SSH密钥认证： bash ssh-keygen -t ed25519 ssh-copy-id user@server

2. Web服务器安全配置

2.1 Nginx安全配置

server {
    # 禁用不必要的HTTP方法
    if ($request_method !~ ^(GET|HEAD|POST)$ ) {
        return 405;
    }

    # 安全头部
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Content-Type-Options "nosniff";
    add_header Content-Security-Policy "default-src 'self'";
    add_header Referrer-Policy "no-referrer-when-downgrade";

    # 禁用服务器信息泄露
    server_tokens off;

    # 限制上传大小
    client_max_body_size 10M;
}

2.2 Apache安全配置

# 禁用服务器签名
ServerSignature Off
ServerTokens Prod

# 安全头部
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Content-Security-Policy "default-src 'self'"

# 限制HTTP方法
<LimitExcept GET POST HEAD>
    Deny from all
</LimitExcept>

3. 应用层安全

3.1 输入验证

• 对所有用户输入进行严格验证
• 使用正则表达式过滤特殊字符
• 示例PHP代码： php $input = filter_input(INPUT_GET, 'param', FILTER_SANITIZE_STRING); if (!preg_match('/^[a-zA-Z0-9]+$/', $input)) { die("Invalid input"); }

3.2 输出编码

• 防止XSS攻击
• 示例： php echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

3.3 API安全

• 使用HTTPS加密所有通信
• 实施API密钥认证
• 限制请求频率： bash # 使用fail2ban限制API请求频率 sudo apt install fail2ban

4. 数据库安全

4.1 MySQL安全

-- 创建专用用户并限制权限
CREATE USER 'webuser'@'localhost' IDENTIFIED BY 'StrongPassword123!';
GRANT SELECT, INSERT, UPDATE ON database.* TO 'webuser'@'localhost';
FLUSH PRIVILEGES;

4.2 防止SQL注入

• 使用预处理语句： php $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email'); $stmt->execute(['email' => $email]);

5. 监控与日志

5.1 日志配置

# 配置日志轮转
sudo nano /etc/logrotate.d/nginx
/var/log/nginx/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 0640 www-data adm
    sharedscripts
    postrotate
        /usr/sbin/nginx -s reload
    endscript
}

5.2 入侵检测

# 安装和配置AIDE (高级入侵检测环境)
sudo apt install aide
sudo aideinit
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

6. 定期安全审计

6.1 漏洞扫描

# 使用Lynis进行安全审计
sudo apt install lynis
sudo lynis audit system

6.2 SSL/TLS检查

# 使用testssl.sh检查SSL配置
wget https://testssl.sh/testssl.sh
chmod +x testssl.sh
./testssl.sh yourdomain.com

7. 应急响应计划

1. 准备备份恢复流程
2. 建立安全事件响应团队联系方式
3. 定期进行安全演练

通过以上措施，您可以显著提高Linux服务器上Web接口的安全性。请记住，安全是一个持续的过程，需要定期审查和更新安全措施。