关于对公司网站服务器安全加固的一些想法及思路:
一、修改密码和ssh登录端口,并且尽可能的用密钥对登录,禁止用密码登录(主要针对Linux)
二、修改/etc/hosts.allow 设置仅仅允许某几台去sshsshd:45.195.修改/etc/hosts.denysshd:ALLin.telnet:ALL三、把系统中的一些不必要的用户和组可以直接注释掉,例如mail,postfix这些邮件相关的可以注释掉,可以减小黑客通过这样的账户进入系统进行提权操作。四、开机自动启动的服务尽可能减少,除了nginx(apache)、mysql、宝塔、php等相关的,其余的尽可能的减少五、关闭无用的端口,同上。六、所有重要文件的权限需要尽可能的严格设置(这下面的内容有点多)chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/serviceschattr +a .bash_history #避免删除.bash_history或者重定向到/dev/null修改系统重要执行命令的权限
chmod 700 /usr/binchmod 700 /bin/pingchmod 700 /usr/bin/vimchmod 700 /bin/netstatchmod 700 /usr/bin/tailchmod 700 /usr/bin/lesschmod 700 /usr/bin/headchmod 700 /bin/catchmod 700 /bin/unamechmod 700 /bin/pschmod -R 700 /etc/rc.d/init.d/*chmod 700 /usr/bin/chmodchmod 700 /usr/bin/chown七.网站和数据库做到定期备份,目录和文件的权限要严格设置,不能让其提权
八.要适当利用Linux的特殊权限作出针对性的设置,合理利用sticky权限位提高安全性,网站目录给定的权限需要给定1755chmod 1755 目录名 chmod o+t 目录名九.ssh登录的方式尽量采取证书登录而非密码登录 (所有Linux服务器已经全部支持证书登录了,目标已完成)十:禁用系统用户权限