一、Linux 安全加固

1. 账户与权限管理

• 最小权限原则
• 禁用 root 远程登录：修改 /etc/ssh/sshd_config，设置 PermitRootLogin no。
• 使用 sudo 替代直接 root 操作，并通过 /etc/sudoers 限制命令范围（如仅允许 apt 和 systemctl）。
• 删除冗余账户：sudo userdel unnecessary_user。
• 强化密码策略
• 修改 /etc/login.defs 和 /etc/pam.d/common-password，要求密码复杂度（至少 8 位，含大小写字母、数字、符号）。
• 启用账户锁定：连续 5 次失败登录后锁定 15 分钟（通过 pam_faillock 模块）。

2. 系统服务与网络防护

• 关闭高危服务与端口
• 禁用默认服务：systemctl disable telnet、systemctl disable rpcbind。
• 使用 firewalld 或 ufw 仅开放必要端口（如 SSH 22、HTTP 80）。

# ufw 示例：开放 SSH 和 HTTP，拒绝其他
ufw allow 22/tcp
ufw allow 80/tcp
ufw default deny incoming

• SSH 安全加固
• 修改默认端口（如 2222），禁用密码登录，仅允许密钥认证。

# /etc/ssh/sshd_config 配置
Port 2222
PasswordAuthentication no
PermitRootLogin no

3. 文件系统与内核防护

• 文件权限控制
• 锁定关键文件：chattr +i /etc/passwd /etc/shadow。
• 设置敏感目录权限：chmod 700 /etc/sensitive_dir。
• 启用 SELinux/AppArmor
• SELinux 强制模式：setenforce 1，并配置策略文件（如 /etc/selinux/config）。

4. 日志审计与更新策略

• 日志监控
• 启用 auditd，监控敏感操作（如 /etc/passwd 修改）。

# /etc/audit/audit.rules 示例
-w /etc/passwd -p wa -k passwd_changes

• 自动更新
• 配置 unattended-upgrades 定期安装安全补丁。

二、Windows 安全设置

1. 账户与密码策略

• 强密码规则
• 启用密码复杂性（至少 8 位，含大小写字母、数字、符号），设置最长使用期限 90 天。
• 路径：控制面板 → 管理工具 → 本地安全策略 → 账户策略 → 密码策略。
• 账户锁定
• 连续 5 次失败登录后锁定 30 分钟，防止暴力破解。

2. 防火墙与网络防护

• Windows Defender 防火墙
• 启用入站规则过滤，仅允许必要端口（如 HTTP 80、RDP 3389）。

# 新建入站规则（阻止高危端口 135/139/445）
New-NetFirewallRule -DisplayName "Block SMB Ports" -Direction Inbound -Protocol TCP -LocalPort 135,139,445 -Action Block

• 关闭远程桌面（RDP）
• 若无需远程管理，禁用 RDP：控制面板 → 系统 → 远程设置 → 禁用远程桌面。

3. 防病毒与数据保护

• 启用 Windows Defender
• 实时防护、云交付保护、勒索软件防护（控制文件夹访问）。
• 定期全盘扫描，更新病毒库。
• BitLocker 加密
• 对系统盘和移动硬盘启用加密，防止物理访问导致数据泄露。

4. 补丁与审计

• 自动更新
• 开启 Windows Update，安装安全补丁（路径：设置 → 更新和安全 → Windows 更新）。
• 事件日志监控
• 配置日志保留策略（提议保留 90 天），定期审查安全日志（事件查看器 → Windows 日志 → 安全）。

三、通用安全提议

1. 最小化攻击面 关闭不必要的服务（如 FTP、Telnet）和默认账户。
2. 定期备份 使用 rsync（Linux）或 robocopy（Windows）备份关键数据至离线存储。
3. 入侵检测 部署 AIDE（Linux）或 OSSEC（Windows）监控文件完整性。

四、实战工具推荐