linux伺服器如何防止被黑客入侵

Linux伺服器的安全設定，首先從iptablesip可以設定特定安全規則，搞個預設禁止，只允許域內已知主機訪問特定幾個必須埠如：80 53 443 25這幾個即可。關閉伺服器sshagent轉發功能，解除安裝不必要的服務。禁用root賬戶遠端訪問的功能，限制ftp使用者，禁用telnet等不安全連線，ssh要使用v2以上版本，配置上登入密碼設定最大嘗試次數、口令長度字元構成。ssh登入的加密演算法設定ASE128位，sha256以上的安全加密演算法。禁止icmp重定向，限制su命令使用者組。類似的東西太多了，開源作業系統還是給我們提供很多安全防護手段的，大家可以一點點百度慢慢了解。以上只是作業系統的安全防護，web安全就是另一套東西了，一定程度上取決於你的app是否足夠安全。對於小企業官網來說，黑客一般不會去主動黑你，但也不乏有些人通過掃描的方式，入侵你的伺服器作為肉雞或者在你的伺服器上植入挖礦程式，導致你CPU跑滿，無法正常執行網站，針對這些問你題，該如何做好防護呢？在阿里雲上做好安全防護相對於在自建機房更加便捷，建議遵循以下幾點：

1、安全組：採用最小授權原則，例如網站可以考慮只開80、443以及遠端連線埠，避免第三方掃描程式通過其他埠入侵伺服器；

2、漏洞修復：這裡麵包含兩塊，第一塊是作業系統漏洞，這個一般控制檯都會有提示，根據提示修復或者自己手動修復即可；第二塊是程式漏洞，這塊我們在選擇程式模板時儘量選擇目前有人進行更新維護的模板；不過話說回來，現在市面上的CMS模板漏洞都很多。3、密碼策略：密碼儘可能複雜化，並且建議定期修改，避免因密碼洩露導致被別人刪庫；4、備份：一般的小企業站點，做好快照備份就可以了，阿里雲的快照還是很方便的。

至於其他的安全管控，web防護等，對於小企業站點來說，投入太大也沒必要，除非該企業的官網需要過等保測評，那就另當別論。

首先是伺服器的使用者管理，很多的攻擊和破解，首先是針對於系統的遠端登入，畢竟拿到登入使用者之後就能進入系統進行操作，這個許可權還是很高的。所以對於Linux系統，首先要做的就是禁止root超級使用者的遠端登入，然後專門建立一個普通使用者給予sudo操作許可權進行遠端登入使用。然後再把ssh的預設埠改為其他不常用的埠。你可能不知道我們的伺服器其實每天都在被很多的掃描工具在掃描著，尤其是對於Linux伺服器的ssh預設22埠，掃描工具掃描出22埠之後就可能會嘗試破解和登入。把ssh的預設埠修改後可以減少被掃描和暴力登入的概率。此外你還可以使用fail2ban等程式防止ssh被暴力破解，其原理是嘗試多少次登入失敗之後就把那個IP給禁止登入了。

SSH改成使用金鑰登入，這樣子就不必擔心暴力破解了，因為對方不可能有你的金鑰，比密碼登入安全多了。伺服器安全還跟你伺服器上執行的程式有關，尤其是你執行的網站程式。網上也有很多的爬蟲機器人每天在掃描著各式各樣的網站，嘗試找系統漏洞。即使你前面把伺服器使用者許可權管理、登入防護都做得很好了，然而還是有可能在網站程式上被破解入侵，畢竟你的網站程式執行在你的伺服器上，也具有操作伺服器的諸多許可權。所以一定要定期檢查和升級你的網站程式以及相關元件，及時修復那些重大的已知漏洞。另外你說需要在伺服器上執行多個網站系統(部落格+企業官網)。我推薦使用docker容器的方式隔離執行環境，將每個程式執行在一個單獨的容器裡，這樣即使伺服器上其中的一個網站程式被破解入侵了，也會被限制在被入侵的容器內，不會影響到其他的容器，也不會影響到系統本身。