服务器安全巡检每日流程清单：新手运维实操指南

服务器安全巡检是运维工作中最基础也最容易忽视的环节。
每天花十分钟跑一遍下面的清单，能提前发现入侵迹象、异常进程或磁盘爆满风险。
本文所有操作都面向零基础用户，尽量用通俗语言解释每一步的目的是什么。

巡检前需要确认的几件事

在开始之前，确认你具备以下条件：

• 服务器登录权限：能通过SSH（密钥或密码）连接到服务器，或者有宝塔面板等可视化后台的登录权限。
• 基本命令认知：知道怎么进入终端，复制粘贴命令即可，不需要记住复杂参数。
• 记录方式：建议准备一个文本文件或笔记，把每次巡检的异常点记录下来，方便后续对比。

如果你用宝塔面板，大部分检查项目可以在面板左侧菜单的“安全”和“系统”模块看到可视化数据；
本文会同时给出命令行和面板两种路径。

每日核心巡检五步走

以下五个检查项按重要程度排序，建议每天按顺序执行。

第一步：检查SSH登录日志——看有没有人偷偷登录

登录日志是判断是否被暴力破解的第一窗口。

命令行方法：

# 查看最近20条登录成功的记录（包括IP和时间）
sudo last -20

# 如果last命令显示用户从未登录，说明日志可能被清空，需要进一步检查

检查重点：有没有你不认识的IP或用户名？
登录时间是不是非工作时间？
如果发现异常，立刻修改SSH端口并使用密钥登录。

宝塔面板路径： 进入“安全”->“SSH管理”->“SSH登录日志”，会按时间列出最近登录记录。

第二步：检查系统当前进程——找到隐藏的挖矿程序

很多入侵者会留下后台进程持续消耗资源。

# 按CPU使用率排序，显示前20个进程
top -bn1 | head -20

# 或者使用更直观的htop（如果没有就安装：sudo apt install htop）
htop

重点看CPU占用长期超过100%的进程（注意多核服务器CPU总和会超过100%是正常的），或者名称奇怪的进程如xmrig、minerd、随机的字符串。
如果在进程列表看到这些，基本确认服务器被植入矿机。

宝塔面板路径： 进入“监控”->“实时状态”，可以在“进程管理”窗口按CPU降序查看。

第三步：检查监听端口——有没有不该开的服务

攻击者经常开后门端口保持持久控制。

# 查看所有监听中的端口及对应程序
sudo netstat -tulnp

# 或者用ss命令（更现代）
ss -tulnp

看看有没有陌生端口如4444、6666、xxxx（随机高位端口）。
建议只保留SSH（22）、Web（80/443）、数据库（如3306需限制IP）等必要端口，其余全部关闭。

宝塔面板路径： 进入“安全”->“防火墙”，这里可以看到放行的端口列表，逐个核对是否必须。

第四步：检查磁盘使用率——防止日志撑爆

日志文件增长过快可能导致服务器无法写数据。

# 查看各分区使用率
df -h

# 重点检查 /var/log 目录大小（日志通常放这里）
du -sh /var/log/* | sort -rh | head -10

如果磁盘使用率超过80%，建议先清理旧日志（sudo journalctl --vacuum-time=7d 只保留7天）。
另外检查/tmp目录是否有异常超大文件。

宝塔面板路径： 首页即可看到磁盘使用率饼图，并在“文件”->“日志清理”中一键清理。

第五步：检查系统更新——堵住已知漏洞

很多入侵是因为旧版本的漏洞被利用。

# Debian/Ubuntu
sudo apt update && sudo apt list --upgradable

# CentOS/RHEL/Fedora
sudo yum check-update

重点关注“安全更新”（Security updates）。
安全修复包通常会附带CVE编号。
建议每个周末挑时间集中更新，工作日除非有紧急安全公告才立即更新。

宝塔面板路径： 进入“软件商店”->“已安装”，每个软件旁边会显示是否有新版可更新。

新手巡检容易踩的三个坑

• 只看last不看wtmp：last读取的是/var/log/wtmp，但入侵者可能清空此文件。建议同时查看/var/log/auth.log或/var/log/secure（路径因发行版而异），用sudo grep "Failed password" /var/log/auth.log | tail -20查看失败次数。
• top看到的CPU瞬间假象：top默认1秒刷新一次，如果进程是间歇性发作的（比如每5分钟挖一阵矿），容易漏掉。建议用nethogs或iftop监控网络流量辅助判断。
• 宝塔面板安全模块显示不全：宝塔默认只检测常见路径，需要手动安装“网站防护”插件才能拦截更深入的攻击。不建议完全依赖面板日志。

如何确认巡检已经到位？

完成上述五步后，把结果记录到本地文件（比如/home/你的用户名/巡检日记/2025-03-15.txt），至少保留30天。
关键结果参考：

• 登录日志：仅看到自己和管理员的IP
• 进程：无异常名称进程，CPU空闲率在90%以上
• 端口：只开放了预定义端口
• 磁盘：使用率<70%
• 更新：无安全漏洞待修复

如果以上全部达标，你的服务器安全状态基本合格。
如果发现任何异常，请立即断开服务器与外网的连接（如修改安全组只允许自己IP访问），再按步骤排查。

每天坚持这套服务器安全巡检每日流程清单，一两个月后你会发现处理故障的速度明显提升。
遇到问题欢迎在评论区留言，我会逐一回复。