华为云EulerOS 2.0搭建网站时需要注意哪些安全配置？

在华为云EulerOS 2.0上搭建网站时，为了保障系统的安全性和网站的稳定运行，需要进行一系列关键的安全配置。以下是建议的安全措施和最佳实践：

一、系统层面的安全配置

1. 及时更新系统和软件包

   sudo yum update -y

   • 定期更新操作系统内核、安全补丁和已安装的软件包，修复已知漏洞。
   • 建议开启自动更新或设置定期检查机制。

2. 最小化安装原则

   • 仅安装必要的软件和服务，减少攻击面。
   • 卸载不必要的服务（如telnet、ftp等）：

     sudo yum remove telnet-server ftp -y

3. 关闭不需要的端口和服务

   • 使用 systemctl list-unit-files --type=service 查看启动项。
   • 禁用非必要服务（如cups、avahi-daemon等）：

     sudo systemctl disable cups.service

4. 配置防火墙（firewalld 或 iptables）

   • 启用并配置 firewalld，仅开放必需端口（如80、443、22）：

     sudo systemctl enable firewalld
     sudo firewall-cmd --permanent --add-service=http
     sudo firewall-cmd --permanent --add-service=https
     sudo firewall-cmd --permanent --remove-service=ftp  # 如无需
     sudo firewall-cmd --reload

5. 强化SSH安全

   • 修改默认SSH端口（可选但推荐）。
   • 禁用root远程登录：

     PermitRootLogin no

   • 使用密钥认证代替密码登录。
   • 配置 AllowUsers 限制登录用户。
   • 编辑 /etc/ssh/sshd_config 并重启服务：

     sudo systemctl restart sshd

6. 启用SELinux或AppArmor

   • EulerOS 默认支持 SELinux，确保其处于 enforcing 模式：

     getenforce
     # 若为Permissive，修改/etc/selinux/config后重启
     SELINUX=enforcing

7. 设置强密码策略

   • 配置 /etc/pam.d/system-auth 强制复杂密码。
   • 设置密码过期策略：

     chage -M 90 username    # 90天过期
     chage -m 7 username     # 最少7天改一次

8. 日志审计与监控

   • 启用 auditd 记录关键操作：

     sudo systemctl enable auditd

   • 定期查看 /var/log/secure、/var/log/messages 等日志文件。
   • 可集成华为云LTS（日志服务）进行集中管理。

二、Web服务安全配置（以Nginx/Apache为例）

1. 使用最新稳定版本的Web服务器

   • 通过官方源或华为云镜像源安装。

2. 隐藏服务器版本信息

   • Nginx：在 nginx.conf 中添加：

     server_tokens off;

   • Apache：在 httpd.conf 中：

     ServerTokens Prod
     ServerSignature Off

3. 配置HTTPS（SSL/TLS）

   • 使用华为云免费SSL证书或Let’s Encrypt。
   • 强制HTTP跳转HTTPS。
   • 使用强加密套件（如TLS 1.2+），禁用旧协议。

4. 防止目录遍历和敏感文件访问

   • 禁止访问 .git、.env、config.php 等敏感文件。
   • Nginx示例：

     location ~ /. {
         deny all;
     }
     location ~ (.env|.git) {
         deny all;
     }

5. 配置WAF（Web应用防火墙）

   • 使用华为云WAF服务，防护SQL注入、XSS、CC攻击等常见威胁。

6. 限制请求频率和连接数

   • 防止DDoS或暴力破解：

     limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

三、应用与数据安全

1. 数据库安全

   • 不使用默认端口（如MySQL 3306可改为非常见端口）。
   • 限制数据库远程访问，仅允许Web服务器IP连接。
   • 使用强密码，避免使用root账户连接应用。

2. 文件权限控制

   • Web目录权限设为 755，文件为 644，上传目录谨慎设置。
   • 所有者应为非root用户（如www-data或自定义用户）：

     chown -R www:www /var/www/html
     find /var/www/html -type d -exec chmod 755 {} ;
     find /var/www/html -type f -exec chmod 644 {} ;

3. 定期备份

   • 数据库、网站文件、配置文件定期备份到异地或OBS对象存储。
   • 测试恢复流程。

四、华为云平台安全功能利用

1. 安全组配置

   • 仅开放80、443、22（建议改端口或限制IP）等必要端口。
   • 限制源IP范围（如只允许公司IP访问SSH）。

2. 主机安全服务（HSS）

   • 安装并启用华为云HSS，实现病毒查杀、异常登录检测、漏洞扫描。

3. 漏洞扫描服务（VSS）

   • 定期对系统和Web应用进行漏洞扫描。

4. 云堡垒机（CBH）

   • 对运维操作进行审计和管控，避免越权操作。

五、其他建议

• 定期安全巡检：检查系统账户、进程、网络连接、计划任务等。
• 禁用IPv6（若不用） 或正确配置防火墙规则。
• 使用非root用户运行Web服务，避免权限过高。
• 部署入侵检测系统（如AIDE、OSSEC） 监控文件完整性。

✅ 总结
在华为云EulerOS 2.0上搭建网站，安全是重中之重。应从系统加固、服务配置、应用防护、云平台工具四个维度综合防御。结合华为云提供的安全产品（如WAF、HSS、VSS），可以显著提升整体安全性。

📌 提示：建议遵循《网络安全等级保护》相关要求，尤其是等保二级及以上系统需满足更多合规性配置。

如有具体技术栈（如LNMP/LAMP、WordPress等），可进一步提供针对性建议。