关于对公司网站服务器安全加固的一些想法及思路:

一、修改密码和ssh登录端口,并且尽可能的用密钥对登录,禁止用密码登录(主要针对Linux)
二、修改/etc/hosts.allow 设置仅仅允许某几台去ssh
sshd:45.195.
修改/etc/hosts.deny
sshd:ALL
in.telnet:ALL
三、把系统中的一些不必要的用户和组可以直接注释掉,例如mail,postfix这些邮件相关的可以注释掉,可以减小黑客通过这样的账户进入系统进行提权操作。
四、开机自动启动的服务尽可能减少,除了nginx(apache)、mysql、宝塔、php等相关的,其余的尽可能的减少
五、关闭无用的端口,同上。
六、所有重要文件的权限需要尽可能的严格设置(这下面的内容有点多)
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services
chattr +a .bash_history #避免删除.bash_history或者重定向到/dev/null

修改系统重要执行命令的权限
chmod 700 /usr/bin
chmod 700 /bin/ping
chmod 700 /usr/bin/vim
chmod 700 /bin/netstat
chmod 700 /usr/bin/tail
chmod 700 /usr/bin/less
chmod 700 /usr/bin/head
chmod 700 /bin/cat
chmod 700 /bin/uname
chmod 700 /bin/ps
chmod -R 700 /etc/rc.d/init.d/*
chmod 700 /usr/bin/chmod
chmod 700 /usr/bin/chown

七.网站和数据库做到定期备份,目录和文件的权限要严格设置,不能让其提权
八.要适当利用Linux的特殊权限作出针对性的设置,合理利用sticky权限位提高安全性,网站目录给定的权限需要给定1755
chmod 1755 目录名
chmod o+t 目录名
九.ssh登录的方式尽量采取证书登录而非密码登录 (所有Linux服务器已经全部支持证书登录了,目标已完成)
十:禁用系统用户权限

十一:修改默认命令记录历史(vim  /etc/bashrc)

export HISTSIZE=         #修改命令记录条数

export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S   `whoami`   "       #记录操作时间、操作用户

source /etc/bashrc

十二:关闭Centos7的111端口

由于111端口是有系统1号进程服务systemd启动,其上面跑的是rpcbind服务,停止的方法不能用kill,具体方法如下

# 停止进程
$ systemctl stop rpcbind.socket
$ systemctl stop rpcbind

# 禁止随开机启动
$ systemctl disable rpcbind.socket
$ systemctl disable rpcbind

Linux服务器安全加固的更多相关文章

  1. Linux服务器安全加固10条建议

    以下是服务器安全加固的步骤,本文以腾讯云的CentOS7.7版本为例来介绍,如果你使用的是秘钥登录服务器1-5步骤可以跳过. 设置复杂密码 服务器设置大写.小写.特殊字符.数字组成的12-16位的复杂 ...

  2. linux 服务器安全加固和内核参数调优 nf_conntrack

    0.内部设置跳板机,服务器只能通过跳板机登录1.禁止ROOT用户远程登录和登录端口 禁止ROOT用户远程登录 .打开 /etc/ssh/sshd_config PermitRootLogin no . ...

  3. MAC OSX使用公钥方式登录Linux服务器并进行安全加固

    登录Linux服务器的方式一般是使用ssh,直接使用密码登录既要记忆密码在输入过程中又有安全风险.所以本文将提供一个使用公钥登录的方式来解决输入密码的问题. 首先在mac上生成一个私钥.公钥对 首先, ...

  4. 20个Linux服务器安全强化建议(三)

    #11.配置iptables和TCPWrappers.   iptables 是一个Linux内核提供的,运行在用户空间的程序,它允许用户配置自己的防火墙策略.我们可以使用防火墙将不必要的流量过滤出去 ...

  5. 线上Linux服务器运维安全策略经验分享

    线上Linux服务器运维安全策略经验分享 https://mp.weixin.qq.com/s?__biz=MjM5NTU2MTQwNA==&mid=402022683&idx=1&a ...

  6. Linux主机操作系统加固规范

      对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具 ...

  7. linux服务器SSH破解预防方法

    1.linux服务器通过配置 /etc/hosts.deny 禁止对方IP通过SSH登录我的服务器 vim /etc/hosts.deny 2.不用SSH服务的默认端口22,重新设置一个新端口,最好设 ...

  8. Linux服务器运维安全策略经验分享

    http://jxtm.jzu.cn/?p=3692 大家好,我是南非蚂蚁,今天跟大家分享的主题是:线上Linux服务器运维安全策略经验.安全是IT行业一个老生常谈的话题了,从之前的“棱镜门”事件中折 ...

  9. 系统管理员需知:25个Linux服务器安全技巧(转)

    来源:51CTO 作者:51CTO       大家都认为 Linux 默认是安全的,我大体是认可的 (这是个有争议的话题).Linux默认确实有内置的安全模型.你需要打开它并且对其进行定制,这样才能 ...

随机推荐

  1. div层的滑入滑出实例

    <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"><head runat=&quo ...

  2. Discarding Game CodeForces - 1250G(思维)

    Discarding Game \[ Time Limit: 3000 ms\quad Memory Limit: 524288 kB \] 题意 一个人和一个电脑在玩游戏,游戏规则是 游戏有 \(n ...

  3. <Dynamic Programming> 120 279

    120. Triangle 从倒数第二行找,然后逐个遍历这个DP数组,对于每个数字,和它之后的元素比较选择较小的再加上面一行相邻位置的元素做为新的元素,然后一层一层的向上扫描 class Soluti ...

  4. opera11以下添加搜索引擎的办法

    opera11以下:首选项,搜索引擎设置添加搜索引擎,地址是https://www.baidu.com/s?wd=%s 这是从其他浏览器里面得到的. opera11以上: http://www.bai ...

  5. CSP2019蒸馏记

    Day -\(\infty\) ~ Day -2 认真准备联赛. Day -1 复习模板,全真模拟比赛平衡树 下午进行了湖南大学 2 小时游. Day 0 上午睡过头了 下午日常训练,并没有什么开放日 ...

  6. 第01组 Beta冲刺(4/5)

    队名:007 组长博客: https://www.cnblogs.com/Linrrui/p/12019233.html 作业博客: https://edu.cnblogs.com/campus/fz ...

  7. java包学习之IO

    第一 java IO的专题 第二 编码 1.从桌面创建内容为“联”的txt,打开为乱码开始讲起,原因是我们的电脑默认是创建ansi编码的,但是“联”字比较特别,编码会被认为是utf-8的,所以会出现乱 ...

  8. 【layui】设置select只向下展开

    加css .layui-form-selectup dl { bottom: auto; }

  9. 直接操作DOM一定比虚拟DOM操作耗时,diff算法,key值,虚拟 DOM的定义

    直接操作DOM一定比虚拟DOM操作耗时吗? 或者一次直接DOM操作一定比一次虚拟DOM操作耗时吗? 1)虚拟DOM的本质就是一个JS对象,虚拟DOM减少了真实DOM的操作,当修改数据的时候,就是修改虚 ...

  10. 【05】Jenkins:用户权限管理

    写在前面的话 在一个企业研发部门内部,可能存在多个运维人员,而这些运维人员往往负责不同的项目,但是有可能他们用的又是同一个 Jenkins 的不同用户.那么我们就希望实现一个需求,能够不同的用户登录 ...