小措施提高Linux伺服器安全

　　黑客很多時候是個體力活。

　　掛著掃描器，漫無目的的尋找不設防的主機，植入後門，控制，賣給需要的人。

　　所以，一些基本的安全措施可以避免太過容易成為目標，下面就小小的介紹一些。

　禁止root遠端登入

　　作為預設系統管理賬號root是最容易攻擊的目標。禁止通過ssh遠端登入是絕對必須的。

　　方法：

　　編輯 /etc/ssh/sshd_config

PermitRootLogin no

　　同時，請為管理員建立個人賬戶，並分配到sudoers使用者組(預設為%admin)

$ sudo adduser example_user

$ sudo usermod –a -G admin example_user

　修改SSHD預設埠

　　遠端服務SSHD的預設埠22也是埠掃描的重點目標，修改為其他埠（通常為1024以上）可避免大部分攻擊。

　　方法：

　　編輯 /etc/ssh/sshd_config

Port 8822 #default 22

　使用SCP代替FTP

　　FTP雖然方便，但是安全性一直被詬病。

　　後臺檔案管理時，用加密的SCP方式可以更好的解決這個問題。

　　SCP利用了SSHD的服務，所以不需要在伺服器另外配置，直接調整賬號許可權即可。

　　Windows下可以使用軟體winscp連線伺服器。

　　官方網站： http://winscp.net

　安裝denyhosts

　　Denyhost可以幫你自動分析安全日誌，直接禁止可疑主機暴力破解。

　　Debian使用者可以直接使用apt安裝

$ sudo apt-get install denyhosts

　　官方網站： http://denyhosts.sourceforge.net/

　謹慎控制目錄和檔案許可權，靈活使用使用者組

　　例如，如果監控程式munin需要訪問網站日誌，請不要修改日誌檔案的許可權設定，而是將munin加入www-data使用者組

$ sudo usermod -a -G www-data munin

　為系統程式使用專用賬號

　　儘量為每個系統程式使用專用賬號，避免使用root

　　如mysql, munin 等，靈活使用 sudo -u example_user 等命令切換執行使用者和使用者組

　從官方網站下載putty

　　Putty是非常流行的windows平臺遠端工具，但不要貪圖方便隨意下載。

　　如此重要且免費的軟體，請從官方網站下載，並且最好進行完整性校驗。

　　官方網站：http://www.chiark.greenend.org.uk/~sgtatham/putty/

　後記

　　希望這些有助於提高您網站的安全性