关于对公司网站服务器安全加固的一些想法及思路:

一、修改密码和ssh登录端口,并且尽可能的用密钥对登录,禁止用密码登录(主要针对Linux)
二、修改/etc/hosts.allow 设置仅仅允许某几台去ssh
sshd:45.195.
修改/etc/hosts.deny
sshd:ALL
in.telnet:ALL
三、把系统中的一些不必要的用户和组可以直接注释掉,例如mail,postfix这些邮件相关的可以注释掉,可以减小黑客通过这样的账户进入系统进行提权操作。
四、开机自动启动的服务尽可能减少,除了nginx(apache)、mysql、宝塔、php等相关的,其余的尽可能的减少
五、关闭无用的端口,同上。
六、所有重要文件的权限需要尽可能的严格设置(这下面的内容有点多)
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services
chattr +a .bash_history #避免删除.bash_history或者重定向到/dev/null

修改系统重要执行命令的权限
chmod 700 /usr/bin
chmod 700 /bin/ping
chmod 700 /usr/bin/vim
chmod 700 /bin/netstat
chmod 700 /usr/bin/tail
chmod 700 /usr/bin/less
chmod 700 /usr/bin/head
chmod 700 /bin/cat
chmod 700 /bin/uname
chmod 700 /bin/ps
chmod -R 700 /etc/rc.d/init.d/*
chmod 700 /usr/bin/chmod
chmod 700 /usr/bin/chown

七.网站和数据库做到定期备份,目录和文件的权限要严格设置,不能让其提权
八.要适当利用Linux的特殊权限作出针对性的设置,合理利用sticky权限位提高安全性,网站目录给定的权限需要给定1755
chmod 1755 目录名
chmod o+t 目录名
九.ssh登录的方式尽量采取证书登录而非密码登录 (所有Linux服务器已经全部支持证书登录了,目标已完成)
十:禁用系统用户权限

十一:修改默认命令记录历史(vim  /etc/bashrc)

export HISTSIZE=         #修改命令记录条数

export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S   `whoami`   "       #记录操作时间、操作用户

source /etc/bashrc

十二:关闭Centos7的111端口

由于111端口是有系统1号进程服务systemd启动,其上面跑的是rpcbind服务,停止的方法不能用kill,具体方法如下

# 停止进程
$ systemctl stop rpcbind.socket
$ systemctl stop rpcbind

# 禁止随开机启动
$ systemctl disable rpcbind.socket
$ systemctl disable rpcbind

Linux服务器安全加固的更多相关文章

  1. Linux服务器安全加固10条建议

    以下是服务器安全加固的步骤,本文以腾讯云的CentOS7.7版本为例来介绍,如果你使用的是秘钥登录服务器1-5步骤可以跳过. 设置复杂密码 服务器设置大写.小写.特殊字符.数字组成的12-16位的复杂 ...

  2. linux 服务器安全加固和内核参数调优 nf_conntrack

    0.内部设置跳板机,服务器只能通过跳板机登录1.禁止ROOT用户远程登录和登录端口 禁止ROOT用户远程登录 .打开 /etc/ssh/sshd_config PermitRootLogin no . ...

  3. MAC OSX使用公钥方式登录Linux服务器并进行安全加固

    登录Linux服务器的方式一般是使用ssh,直接使用密码登录既要记忆密码在输入过程中又有安全风险.所以本文将提供一个使用公钥登录的方式来解决输入密码的问题. 首先在mac上生成一个私钥.公钥对 首先, ...

  4. 20个Linux服务器安全强化建议(三)

    #11.配置iptables和TCPWrappers.   iptables 是一个Linux内核提供的,运行在用户空间的程序,它允许用户配置自己的防火墙策略.我们可以使用防火墙将不必要的流量过滤出去 ...

  5. 线上Linux服务器运维安全策略经验分享

    线上Linux服务器运维安全策略经验分享 https://mp.weixin.qq.com/s?__biz=MjM5NTU2MTQwNA==&mid=402022683&idx=1&a ...

  6. Linux主机操作系统加固规范

      对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具 ...

  7. linux服务器SSH破解预防方法

    1.linux服务器通过配置 /etc/hosts.deny 禁止对方IP通过SSH登录我的服务器 vim /etc/hosts.deny 2.不用SSH服务的默认端口22,重新设置一个新端口,最好设 ...

  8. Linux服务器运维安全策略经验分享

    http://jxtm.jzu.cn/?p=3692 大家好,我是南非蚂蚁,今天跟大家分享的主题是:线上Linux服务器运维安全策略经验.安全是IT行业一个老生常谈的话题了,从之前的“棱镜门”事件中折 ...

  9. 系统管理员需知:25个Linux服务器安全技巧(转)

    来源:51CTO 作者:51CTO       大家都认为 Linux 默认是安全的,我大体是认可的 (这是个有争议的话题).Linux默认确实有内置的安全模型.你需要打开它并且对其进行定制,这样才能 ...

随机推荐

  1. input type属性为number时,去掉右边的上下箭头

    加上样式: input::-webkit-outer-spin-button, input::-webkit-inner-spin-button { -webkit-appearance: none; ...

  2. 获取客户端IP地址的三个HTTP请求头的区别

    一.没有使用代理服务器的情况: REMOTE_ADDR = 您的 IP HTTP_VIA = 没数值或不显示 HTTP_X_FORWARDED_FOR = 没数值或不显示 二.使用透明代理服务器的情况 ...

  3. 求数组前K个大的数

    我们举例,假若从10000万个数里选出前100个最大的数据. 首先我们先分析:既然要选出前100个最大的数据,我们就建立一个大小为100的堆(建堆时就按找最大堆的规则建立,即每一个根节点都大于它的子女 ...

  4. Linux查看进程和已知端口是否启动

    如查看activeMQ的61616这个端口是否启动,以及直接查看activeMQ进程是否启动,可以通过如下命令进行查看 其中netstat命令必须知道端口,如果能查出就证明已启动,如果查出没有结果则表 ...

  5. 团队作业第五次—项目冲刺-Day3

    Day3 part1-SCRUM: 项目相关 作业相关 具体描述 所属班级 2019秋福大软件工程实践Z班 作业要求 团队作业第五次-项目冲刺 作业正文 hunter--冲刺集合 团队名称 hunte ...

  6. C# HTTP系列11 以普通文件流方式上传文件远程服务器

    系列目录     [已更新最新开发文章,点击查看详细] 应用程序中上传附件是最常使用的操作之一,ASP.NET客户端一般通过上传控件实现, <input type="file" ...

  7. [Powershell]导出指定的定时计划任务

    <# .NOTES =========================================================================== Created wit ...

  8. wifi串口服务器

    下面与大家分享上海卓岚无线wifi串口服务器ZLAN7104创建虚拟串口的设置使用心得 一.7104网线连接计算机,用ZLVircom即可搜索并配置 其中,串口设置需要匹配实际所接的串口设备,配置为相 ...

  9. Angular6 学习笔记——路由详解

    angular6.x系列的学习笔记记录,仍在不断完善中,学习地址: https://www.angular.cn/guide/template-syntax http://www.ngfans.net ...

  10. HTTP之如何控制缓存

    HTTP控制缓存的能力 ===================摘自<HTTP权威指南>==================================== 服务器可以通过HTTP定义的 ...