在 CentOS 环境下,域名“安全”主要涉及注册购买、解析配置、HTTPS 加密与服务器加固四个环节。下面给出一套精简可落地的做法。
购买环节的安全要点
- 选择可靠注册商:看重其安全能力、口碑、售后与条款透明度,避免隐藏费用与转出限制。
- 开启域名锁定(Registrar Lock):防止未经授权的转移。
- 启用隐私保护/WHOIS 隐私:减少骚扰与社工风险。
- 设置自动续费:避免过期被抢注或被他人捡漏。
- 购买前做尽职调查:核查域名历史(是否被滥用、是否曾被拉黑)、注册年限、建站历史与商标冲突;对超低价域名提高警惕。
- 若涉及域名交易,使用正规平台、遵循规范流程并妥善保管账户与交易凭据。
注册后解析与备案的安全配置
- 完成实名认证:未实名可能导致域名被置为ServerHold(暂停解析);在中国大陆做网站还需ICP 备案,通常实名通过后约3 个工作日再提交更稳妥。
- 配置基础解析:添加 A/AAAA 记录指向服务器,必要时配置 CNAME;确保解析生效前网站可正常访问。
- 加固 DNS 安全:优先使用注册商提供的DNSSEC;为域名添加 CAA 记录,仅允许指定 CA 签发证书,降低被错误签发的风险。
在 CentOS 上启用 HTTPS 与自动续期
- 安装与配置 Web 服务:部署 Nginx/Apache 并开放 80/443 端口。
- 使用 Certbot(Let’s Encrypt) 获取免费证书并自动配置 Nginx:
- 安装 Snap 与 Certbot,确保使用经典通道:
sudo snap install --classic certbot && sudo ln -s /snap/bin/certbot /usr/bin/certbot
- 获取并自动写入 Nginx 配置:
sudo certbot --nginx --nginx-server-root=/usr/local/nginx/conf(路径按实际调整)
- 设置自动续期:
sudo certbot renew --dry-run 验证,生产环境可用 systemd 定时或续期钩子自动重载 Nginx。
- 证书与连接安全要点:优先使用 ECDHE 等前向保密套件;启用 HSTS;将 HTTP 强制跳转至 HTTPS。
服务器与账户的最小加固清单
- 系统与软件:定期执行
sudo yum update 更新系统与组件。
- 防火墙:启用 Firewalld,仅放行 80/443(必要时 22),并持久化规则。
- SSH 安全:禁用 root 登录,使用密钥认证,可更改默认端口并限制来源 IP。
- SELinux:保持启用并按需配置,减少权限滥用风险。
- 备份与监控:定期备份网站与数据库,保留离线/异地副本,并监控证书到期与异常解析。
