本文目录导读：

1. 引言
2. 一、Linux服务器安全配置
3. 二、Windows服务器安全配置
4. 三、通用安全最佳实践（适用于Linux/Windows）
5. 四、总结

在当今数字化时代，网站服务器的安全性至关重要，无论是Linux还是Windows服务器，如果配置不当，都可能面临黑客攻击、数据泄露、恶意软件感染等风险，本文将详细介绍如何对Linux和Windows服务器进行安全配置,以确保网站的安全性和稳定性。

---

Linux服务器安全配置

系统更新与补丁管理

• 定期更新系统：使用以下命令确保系统处于最新状态：

  sudo apt update && sudo apt upgrade -y  # Debian/Ubuntu
  sudo yum update -y  # CentOS/RHEL

• 启用自动安全更新（可选）：

  sudo apt install unattended-upgrades  # Debian/Ubuntu
  sudo yum install yum-cron  # CentOS/RHEL

防火墙配置

• 使用ufw（Ubuntu/Debian）或firewalld（CentOS/RHEL）：

  sudo ufw enable
  sudo ufw allow 22/tcp  # 允许SSH
  sudo ufw allow 80/tcp  # 允许HTTP
  sudo ufw allow 443/tcp  # 允许HTTPS

• 检查防火墙状态：

  sudo ufw status

SSH安全加固

• 更改默认SSH端口（22）：

  sudo nano /etc/ssh/sshd_config

  修改Port 22为其他端口（如2222）。

• 禁用root登录：

  PermitRootLogin no

• 使用密钥认证代替密码登录：

  PasswordAuthentication no

• 重启SSH服务：

  sudo systemctl restart sshd

用户权限管理

• 使用sudo代替root：

  sudo adduser username
  sudo usermod -aG sudo username

• 限制su命令的使用：

  sudo dpkg-statoverride --update --add root sudo 4750 /bin/su  # Debian/Ubuntu

文件权限与SELinux

• 设置关键文件权限：

  sudo chmod 600 /etc/shadow
  sudo chmod 644 /etc/passwd

• 启用SELinux（CentOS/RHEL）：

  sudo setenforce 1
  sudo nano /etc/selinux/config  # 确保SELINUX=enforcing

入侵检测与日志监控

• 安装fail2ban防止暴力破解：

  sudo apt install fail2ban  # Debian/Ubuntu
  sudo yum install fail2ban  # CentOS/RHEL

• 监控日志：

  sudo tail -f /var/log/auth.log  # SSH登录日志
  sudo journalctl -xe  # 系统日志

---

Windows服务器安全配置

系统更新与补丁管理

• 启用Windows Update：
  • 进入控制面板 > Windows Update,确保自动更新开启。
• 手动检查更新：

  Install-Module PSWindowsUpdate -Force
  Get-WindowsUpdate -Install -AcceptAll

防火墙配置

• 启用Windows Defender防火墙：

  netsh advfirewall set allprofiles state on

• 仅允许必要的端口：

  New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
  New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

远程访问安全（RDP）

• 更改默认RDP端口（3389）：

  reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3390 /f

• 启用网络级认证（NLA）：

  Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "UserAuthentication" -Value 1

• 限制RDP访问IP：

  New-NetFirewallRule -DisplayName "Restrict RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.100 -Action Allow

用户权限管理

• 禁用默认Administrator账户：

  Rename-LocalUser -Name "Administrator" -NewName "CustomAdmin"

• 启用账户锁定策略：

  net accounts /lockoutthreshold:5 /lockoutduration:30

文件权限与BitLocker加密

• 设置NTFS权限：

  右键文件夹 > 属性 > 安全 > 限制不必要的用户访问。

• 启用BitLocker（企业版）：

  Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256

入侵检测与日志监控

• 启用Windows Defender防病毒：

  Set-MpPreference -DisableRealtimeMonitoring $false

• 配置事件日志：

  wevtutil sl Security /ms:10485760  # 设置安全日志大小

---

通用安全最佳实践（适用于Linux/Windows）

1. 定期备份：
   • 使用rsync（Linux）或Robocopy（Windows）进行自动化备份。
2. 禁用不必要的服务：

   关闭未使用的端口（如FTP、Telnet）。

3. 使用HTTPS加密：

   部署Let's Encrypt免费SSL证书。

4. 监控服务器性能：
   • 使用top（Linux）或Task Manager（Windows）检查资源占用。
5. 实施最小权限原则：

   仅授予用户必要的权限。

---

无论是Linux还是Windows服务器,安全配置的核心在于：

• 保持系统更新
• 限制不必要的访问
• 监控日志和异常行为
• 定期备份数据

通过以上措施，可以显著降低服务器被攻击的风险，确保网站稳定运行，建议定期进行安全审计,并遵循最新的安全最佳实践。

---

（全文共计约1600字）