我作为一个半只脚脚踏入门的说点最基本的吧 全当是抛砖引玉:
1.停用所有不需要的服务
什么ftp啊,smtp啊,什么bluetooth等等,这些不用到的服务器全部关闭,记得chkconfig设置其不随机启动,这样就少开很多对外开放的端口,还省资源。
2.修改常用服务器的端口,比如ssh的22啊 mysql的3306啊之类的,防止一般的嗅探软件来扫。
3.使用iptables
只对外开放需要外部访问的端口,比如80 8080 443等
这个软防火墙他娘的比上万的硬件防火墙太划算了,学好了也不亏,只要玩linux基本都用的上。
具体方法请google(动词),几条简单的规则,基本可以防止大部分低端黑。
PS1:调试iptables的时候 可以用虚拟机来调试,服务上线的时候可以先加一条crontab记录,10分钟关闭iptables一次,防止你自己也登录不上...
PS2:用iptables可以限制sshd服务的访问来源,限制在你们公司常用的ip地址才可以访问。
4.使用复杂的密码,至少密码都要包含字母数字标点符号大小写8位以上
5.使用证书而不是密码来远程登录
6.削弱root用户的权限,比如新建apache用户来跑apache服务,并且限制apache用户的权限,这样可以防止当web服务代码漏洞造成的整台机器的root权限被夺。
7.如果有必要 升级操作系统和web服务器和一些所需软件的版本或者打补丁。这个工作量比较大,必要的时候做。
8.上面运行的服务如果有数据库,注意代码防sql注入 。
好像偏题了。。先想到这么多啦
