答案：通过修改端口、禁用root登录、密钥认证、限制IP和启用fail2ban加固SSH；数据库服务绑定内网、最小权限、强密码、加密通信和关闭危险功能；Web服务隐藏版本、限制方法、配置WAF、控制目录权限并以低权用户运行，遵循最小化原则保障安全。

保障 Linux 系统中关键服务（如 SSH、数据库、Web 服务）的安全性，是系统管理员的核心职责。攻击者通常从这些暴露在公网或内网的服务入手，因此必须进行针对性的安全加固。以下是对三大核心服务的实用安全措施。

SSH 服务安全加固

SSH 是远程管理的主要入口，也是暴力破解和未授权访问的高风险点。应采取以下措施降低风险：

• 修改默认端口：将 SSH 从默认的 22 端口改为非常见端口，减少自动化扫描攻击。
• 禁用 root 登录：设置 PermitRootLogin no，强制使用普通用户登录后切换权限。
• 使用密钥认证代替密码：关闭密码登录（PasswordAuthentication no），仅允许 SSH 密钥登录。
• 限制访问源 IP：通过防火墙或 AllowUsers 配置，只允许可信 IP 连接。
• 启用 fail2ban：自动封禁多次尝试失败的 IP 地址，防止暴力破解。

数据库服务安全加固（以 MySQL/PostgreSQL 为例）

数据库常存储敏感信息，一旦泄露后果严重。应从访问控制和配置层面加强防护：

• 禁止监听公网地址：若应用与数据库在同一主机，绑定到 127.0.0.1，避免外部直接访问。
• 最小化权限分配：为每个应用创建独立账号，并授予最低必要权限，避免使用 root 或超级用户连接。
• 强制强密码策略：启用密码复杂度检查，定期轮换密码。
• 启用加密连接：配置 TLS 加密客户端与数据库之间的通信，防止中间人窃听。
• 关闭危险功能：如 MySQL 的 LOAD DATA LOCAL INFILE，防止文件读取漏洞被利用。

Web 服务安全加固（以 Nginx/Apache 为例）

Web 服务直接面向用户，容易受到注入、路径遍历等攻击。需从服务配置和运行环境两方面着手：

• 隐藏服务版本信息：关闭 Server: nginx/X.X.X 类似头信息，减少攻击者指纹识别依据。
• 限制请求方法：禁用不必要的 HTTP 方法（如 PUT、DELETE），防止非法操作。
• 配置 WAF（Web 应用防火墙）：使用 ModSecurity 等工具拦截 SQL 注入、XSS 等常见攻击。
• 静态资源目录权限控制：确保 Web 目录不可执行脚本，上传目录不可写入可执行文件。
• 以低权限用户运行服务：Nginx/Apache 不应以 root 启动，使用专用账户（如 www-data）降低被攻陷后的权限影响。

基本上就这些。每项服务的加固都围绕“最小权限、最小暴露、最小功能”原则展开。定期审计配置、更新补丁、监控日志，才能持续保持系统的安全状态。