Linux安全加固linux安全加固

linux加固10条建议？

10条建议:

1、设置复杂密码

服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码，也可使用密码生成器自动生成复杂密码，这里给您一个链接参考：https://suijimimashengcheng51240com/

2、设置密码策略

修改文件/etc/logindefs

3、对密码强度进行设置

编辑文件/etc/pamd/password-auth

4、对用户的登录次数进行限制

编辑文件/etc/pamd/sshd

多次输入密码失败后提示信息

pam_tally2查看被锁定的用户

pam_tally2--reset-uusername将被锁定的用户解锁

5、进制root用户远程登录

禁止ROOT用户远程登录。打开/etc/ssh/sshd_config

6、更改ssh端口

vim/etc/ssh/sshd_config，更改Port或追加Port

7、安全组关闭没必要的端口

腾讯云平台有安全组功能，里面您只需要放行业务协议和端口，不建议放行所有协议所有端口

8、设置账户保存历史命令条数，超时时间

打开/etc/profile

五分钟未动，服务器超时自动断开与客户端的链接

9、定期查看查看系统日志

重要服务器可以将日志定向传输到指定服务器进行分析

10、定期备份数据

目录要有规划，并且有周期性的打包备份数据到指定的服务器。

简单好用的Linux/Windows服务器管理面板是什么？

本人在Linux/Windows系统上都运行过服务器管理面板部署web开发和生产环境，从稳定性、安全性和简单易用的角度来做，我推荐如下：

一、Windows服务器系统推荐phpStudy服务器管理面板

1、phpStudy服务器管理面板介绍

支持最新php、mysql版本，在不同站点可以选择不同版本php和mysql互不影响。界面简洁，操作简单，ssl部署、网站备份还原一键操作，软件官网更新及时、占用体积小，100M不到，目前最新版本是phpStudyv8105。

2、特色

傻瓜式的一键启动，一键切换环境（nginx+apahce）,一键切换PHP版本（51-73），无需懂任何代码与手动配置。

PHP扩展管理方便，伪静态等设计简单

关键是对windows系统的支持非常友好，使用时间长后，系统变卡、死机的情况较其他面板少。

二、linux服务器系统推荐宝塔面板

bt宝塔面板部署在云服务器上，用于生产环境，安全性、性能、稳定性极高，管理面板是图形化的界面，许多附在的linux软件安装、服务部署，网站运维等复杂操作，只要点击几下鼠标就可以，非常便捷，在linux系统上使用最多的和最广泛的服务器管理面板。宝塔面板有专业付费版和免费版本，一般免费版本功能已经够用了，专业版提供系统加固、防火墙等安全防务软件。

简单介绍宝塔面板的更能特色：

1、软件商店功能强大齐全、傻瓜式安装、更新，为服务拓展、升级提供便利。

2、网站设置、数据库管理、安全监控、文件系统、计划任务等linux技术人员需要使用命令的负责操作，在管理面板上一目了然。

3、最值得一提的是,是FTP上传、下载、在线压缩解压功能，文件传输速度非常快，可以达到10-20m/秒，还可以当网盘使用，用于分享下载文件。

关于IIS服务器的安全主要包括六步：

1、使用安全配置向导（Security Configuration Wizard）来决定web服务器所需的最小功能，然后禁止其他不需要的功能。具体地说，它能帮你

1》禁止不需要的服务

2》堵住不用的端口

3》至于打开的端口，对可以访问的地址和其他安全做进一步的限制

4》如果可行，禁止不需要的IIS的web扩展

5》减小对SMB，LAN Manager，和LDAP协议的显露

6》定义一个高信噪比的对策

2、把网站文件放在一个非系统分区（partition）上，防止directory traversal的缺陷，对内容进行NTFS权限稽查（Audit）。

3、对自己的系统定期做安全扫描和稽查，在别人发现问题前尽早先发现自己的薄弱处。

4、定期做日志分析，寻找多次失败的登陆尝试，反复出现的404，401，403错误，不是针对你的网站的请求记录等。

5、如果使用IIS 6的话，使用Host Headers ，URL扫描，实现自动网站内容和IIS Metabase的Replication，对IUSR_servername帐号户使用标准的名称等。

6、总的web架构的设计思路：别把你的外网web服务器放在内网的活动目录（Active Directory）里，别用活动目录帐号运行IIS匿名认证，考虑实时监测，认真设置应用池设置，争取对任何活动做日志记录，禁止在服务器上使用Internet Explorer等。

[root@localhost ssh]# su - test1禁止root用户登录：

为增强安全，

   先增加一个普通权限的用户：

   #useradd

   #passwd

   //设置密码

生产机器禁止ROOT远程SSH登录：

   #vim /etc/ssh/sshd_config

把

   PermitRootLogin yes

   改为

   PermitRootLogin no

   重启sshd服务

   #service sshd restart

远程管理用普通用户登录，然后用 su - root 转换到root用户拿到最高权限。

禁止某个用户登录：

   vim /etc/passwd

修改：lynn:x:500:500::/home/lynn:/bin/bash

   为： lynn:x:500:500::/home/lynn:/sbin/nologin

修改 ： #Port 22

   为 ：   Port

使用密钥认证登录服务器：

1、以root用户登录服务器

   2、 vim /etc/ssh/sshd_config

复制代码

代码如下:

Port 12345

   StrictModes no

   RSAAuthentication yes

   PubkeyAuthentication yes

   PermitEmptyPasswords no

   PasswordAuthentication no

如果是给非root用户配置秘钥认证，下一步需要切换到相应的用户做操作：

   [root@localhost ssh]# su - test1

3、ssh-keygen -t rsa -b 1024

a、回车

   b、键入密码

4、ls -a /root/ssh   可以查看到生成两个文件

   5、cat id_rsapub authorized_keys

   6、chmod 644 authorized_keys

   7、rm -rf id_rsapub

   8、ls -a /root/ssh   现在就剩下两个文件，authorized_keys是公钥 id_rsa是密钥。

   9、现在把id_rsa密钥烤出来。

   10、注意先把id_rsa拷贝出来，然后再开一个ssh终端，在启动服务，以防密钥没有成功，ssh也登陆不进去了，也不能修改ssh配置了。

   11、再开一个ssh终端，用于不成功的配置用。

   12、/etc/initd/ssh restart

   13、如果用samba共享id_rsa文件，注意文件的权限。

这个还真不是三言两语说的清楚，而且计算机的安全防护并不是只完成单台的计算机即可的，涉及整个信息系统的架构与设计等。但可以给个大的框架：

1、物理上，保证设备独立性与不可接触，如放在有安全防护的机房并严格管理人员出入与设备接触，以及机房的防火、防水、防盗、电压安全等设计；

2、操作系统层次安全，包括操作系统安全加固（服务器软件的配置的安全性因素、服务器的软件防火墙配置因素、补丁因素、计算机软件级别访问控制因素、密码强度与密码更新频率等）、操作系统版本（新的操作系统相对来说功能性与安全性均会有所提升，BETE版另说）。基于全网的域结构方式可以在全网的基础上进行严格控制与管理，并保证整个信息系统的统一安全策略的实施，可以进一步加因计算机的安全防护。另外，清晰规范的计算机管理制度与责任追究制度也是计算机安全防护的有力保证，有句话叫做三分技术，七分管理，就是这个意思。从窄义的计算机安全防护加固角度看（估计也是你的需求），看到这里就可以了，下面的是从广义的计算机安全防护上去阐述的，你可以参考一下。

3、网络层次安全，包括内网安全与外网安全，一般建议内久外网隔离以保证内网业务系统安全性，其他的如网络硬件与逻辑（VLAN，访问控制）隔离、网络访问控制列表、网络准入、网络审计等需要相应的网络软硬件支撑才可完善，如网络准入系统，交换机的软件支持等。

4、边界安全，保证外界与内网连通性的同时保证安全性，建议有个安全设备部署在边界，最基础的是防火墙设备，高级一些的有IPS、IDS（主要用于审计）、防病毒网关等。