如何排查Linux服务器上的恶意发包行为

　　一：病毒木马排查。

　　1、使用netstat查看网络连接，分析是否有可疑发送行为，如有则停止。

　　在服务器上发现一个大写的CRONTAB命令，然后进行命令清理及计划任务排查。

　　（Linux常见木马，清理命令chattr -i /usr/bin/sshd; rm -f /usr/bin/sshd; chattr

-i /usr/bin/swhd; rm -f /usr/bin/swhd; rm -f -r /usr/bin/bsd-port; cp

/usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp

/usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm

-r -f /root/ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe |

xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}’ | awk -F/

‘{print $NF}’ | xargs killall -9;）

　　2、使用杀毒软件进行病毒查杀。

　　二：服务器漏洞排查并修复

　　1、查看服务器账号是否有异常，如有则停止删除掉。

　　2、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10位及以上。

　　3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

　　4、查看WEB应用是否有漏洞，如struts， ElasticSearch等，如有则请升级。

　　5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

　　6、查看Redis无密码可远程写入文件漏洞，检查/root/ssh/下黑客创建的SSH登录密钥文件，删除掉，修改Redis为有密码访问并使用强密码，不需要公网访问最好bind 127001本地访问。

　　7、如果有安装第三方软件，请按官网指引进行修复。

　　一旦你发现Linux服务器上的流量异常地增高，就很有可能存在病毒恶意发包行为，应该及时地宕掉网络，进行上述的排查工作。

一、强化密码强度

凡是涉及到登录，就需要用到密码，如果密码设定不恰当，很容易被黑客破解，如果是超级管理员用户，如果没有设立良好的密码机制，可能给系统造成无法挽回的成果。

很多用户喜欢用自己的生日、姓名、英文名等信息来设定，这些方式可以通过字典或社会工程的手段去破解，因此建议用户在设定密码时，尽量使用非字典中出现的组合字符，且采用数字与字符、大小写相结合的密码，增加密码被破译的难度。

二、登录用户管理

进入Linux系统前，都是需要登录的，只有通过系统验证后，才能进入Linux操作系统，而Linux一般将密码加密后，存放在/etc/passwd文件中，那么所有用户都可以读取此文件，虽然其中保存的密码已加密，但安全系数仍不高，因此可以设定影子文件/etc/shadow，只允许有特殊权限的用户操作。

三、账户安全等级管理

在Linux操作系统上，每个账户可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应根据需要赋予该账号不同的权限，且归并到不同的用户组中。每个账号ID应有专人负责，在企业中，如果负责某个ID的员工离职，该立即从系统中删除该账号。

四、谨慎使用r系列远程程序管理

在Linux系统中，有一系列r开头的公用程序，如rlogin、rcp等，非常容易被不法分子用来攻击我们的系统，因此千万不要将root账号开放给这些公用程序，现如今很多安全工具都是针对此漏洞而设计的，比如PAM工具，就可以将其有效地禁止掉。

五、root用户权限管理

root可谓是Linux重点保护对象，因为其权利是最高的，因此千万不要将它授权出去，但有些程序的安装、维护必须要求是超级用户权限，在此情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。

六、综合防御管理

防火墙、IDS等防护技术已成功应用到网络安全的各个领域，且都有非常成熟的产品，需要注意的是：在大多数情况下，需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口来过滤网络流量，而IDS更加具体，它需要通过具体的数据包来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。

七、保持更新，补丁管理

Linux作为一种优秀的开源软件，其稳定性、安全性和可用性有极为可靠的保证，世界上的Linux高手共同维护着个优秀的产品，因而起流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。

linuxweb集群优点？

总的来说，这两大优点是其他操作系统不可替代的：

第一，可以依据用户不同的需求来随意修改、调整与复制各种程序的源码以及发布在互联网上；

第二，Linux操作系统的市场价格比较便宜，也能够在互联网上免费下载源码。

可以说，Linux为架设既高效又安全的Web服务器的比较理想的操作系统。此外，要让Web服务器更具有优越的性能，可以根据服务器系统之特点与用途作进一步的优化与处理，尽量减少Web服务器的数据传输量以及降低其数据传输的频率，进而促进网络宽带的利用率与使用率，以及提高网络客户端的网页加载的速度，同时也可以减少Web服务器各种资源的消耗。

linux性能高安全性强吗？

关于Linux操作系统的新闻是经常在IT行业出版物中出现的。其中很多新闻是关于其安全的特点。但实际上，声称“Linux是所有操作系统中最安全的”这样的说法是夸张的。虽然很多Linux发行版本比微软Windows操作系统和苹果MacOSX操作系统的安全性好很多，但有证据表明，大部分Linux发行版本都比不上标准的FreeBSD操作系统，更不用说在通用操作系统中可能拥有最好安全记录的OpenBSD操作系统了。

剔除象RTOSes、IBMi、OpenVMS和TrustedBSD之类用于特殊用途的操作系统。许多人倾向于认为：相比封闭源代码的操作系统，流行的开源操作系统，具有一定的安全优势。他们把Linux作为了开放源码操作系统的象征，而微软Windows则是封闭源代码操作系统的代表。在这样的二选一的情况下，就应该选择“Linux是最安全的操作系统”。但现实世界并不是这么简单的。

　　随着开源系统Linux的盛行，其在大中型企业的应用也在逐渐普及，很多企业的应用服务都是构筑在其之上，例如Web服务、数据库服务、集群服务等等。因此，Linux的安全性就成为了企业构筑安全应用的一个基础，是重中之重，如何对其进行安全防护是企业需要解决的一个基础性问题，基于此，本文将给出十大企业级Linux服务器安全防护的要点。1、强化：密码管理设定登录密码是一项非常重要的安全措施，如果用户的密码设定不合适，就很容易被破译，尤其是拥有超级用户使用权限的用户，如果没有良好的密码，将给系统造成很大的安全漏洞。目前密码破解程序大多采用字典攻击以及暴力攻击手段，而其中用户密码设定不当，则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码，这样，黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中，应尽量使用非字典中出现的组合字符，并且采用数字与字符相结合、大小写相结合的密码设置方式，增加密码被黑客破解的难度。而且，也可以使用定期修改密码、使密码定期作废的方式，来保护自己的登录密码。在多用户系统中，如果强迫每个用户选择不易猜出的密码，将大大提高系统的安全性。但如果passwd程序无法强迫每个上机用户使用恰当的密码，要确保密码的安全度，就只能依靠密码破解程序了。实际上，密码破解程序是黑客工具箱中的一种工具，它将常用的密码或者是英文字典中所有可能用来作密码的字都用程序加密成密码字，然后将其与Linux系统的/etc/passwd密码文件或/etc/shadow影子文件相比较，如果发现有吻合的密码，就可以求得明码了。在网络上可以找到很多密码破解程序，比较有名的程序是crack和john the ripper用户可以自己先执行密码破解程序，找出容易被黑客破解的密码，先行改正总比被黑客破解要有利。2、限定：网络服务管理早期的Linux版本中，每一个不同的网络服务都有一个服务程序(守护进程，Daemon)在后台运行，后来的版本用统一的/etc/inetd服务器程序担此重任。Inetd是Internetdaemon的缩写，它同时监视多个网络端口，一旦接收到外界传来的连接信息，就执行相应的TCP或UDP网络服务。由于受inetd的统一指挥，因此Linux中的大部分TCP或UDP服务都是在/etc/inetdconf文件中设定。所以取消不必要服务的第一步就是检查/etc/inetdconf文件，在不要的服务前加上“#”号。一般来说，除了http、smtp、telnet和ftp之外，其他服务都应该取消，诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用于时间同步的daytime和time等。还有一些报告系统状态的服务，如finger、efinger、systat和netstat等，虽然对系统查错和寻找用户非常有用，但也给黑客提供了方便之门。例如，黑客可以利用finger服务查找用户的电话、使用目录以及其他重要信息。因此，很多Linux系统将这些服务全部取消或部分取消，以增强系统的安全性。Inetd除了利用/etc/inetdconf设置系统服务项之外，还利用/etc/services文件查找各项服务所使用的端口。因此，用户必须仔细检查该文件中各端口的设定，以免有安全上的漏洞。在后继的Linux版本中(比如Red Hat Linux72之后)，取而代之的是采用xinetd进行网络服务的管理。当然，具体取消哪些服务不能一概而论，需要根据实际的应用情况来定，但是系统管理员需要做到心中有数，因为一旦系统出现安全问题，才能做到有步骤、有条不紊地进行查漏和补救工作，这点比较重要。3、严格审计：系统登录用户管理在进入Linux系统之前，所有用户都需要登录，也就是说，用户需要输入用户账号和密码，只有它们通过系统验证之后，用户才能进入系统。与其他Unix操作系统一样，Linux一般将密码加密之后，存放在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件，虽然文件中保存的密码已经经过加密，但仍然不太安全。因为一般的用户可以利用现成的密码破译工具，以穷举法猜测出密码。比较安全的方法是设定影子文件/etc/shadow，只允许有特殊权限的用户阅读该文件。在Linux系统中，如果要采用影子文件，必须将所有的公用程序重新编译，才能支持影子文件。这种方法比较麻烦，比较简便的方法是采用插入式验证模块(PAM)。很多Linux系统都带有Linux的工具程序PAM，它是一种身份验证机制，可以用来动态地改变身份验证的方法和要求，而不要求重新编译其他公用程序。这是因为PAM采用封闭包的方式，将所有与身份验证有关的逻辑全部隐藏在模块内，因此它是采用影子档案的最佳帮手。此外，PAM还有很多安全功能：它可以将传统的DES加密方法改写为其他功能更强的加密方法，以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它甚至可以设定用户的上机时间和地点。Linux系统管理人员只需花费几小时去安装和设定PAM，就能大大提高Linux系统的安全性，把很多攻击阻挡在系统之外。4、设定：用户账号安全等级管理除密码之外，用户账号也有安全等级，这是因为在Linux上每个账号可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。在Linux系统中的部分文件中，可以设定允许上机和不允许上机人员的名单。其中，允许上机人员名单在/etc/hostsallow中设置，不允许上机人员名单在/etc/hostsdeny中设置。此外，Linux将自动把允许进入或不允许进入的结果记录到/var/log/secure文件中，系统管理员可以据此查出可疑的进入记录。每个账号ID应该有专人负责。在企业中，如果负责某个ID的职员离职，管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。在用户账号之中，黑客最喜欢具有root权限的账号，这种超级用户有权修改或删除各种系统设置，可以在系统中畅行无阻。因此，在给任何账号赋予root权限之前，都必须仔细考虑。Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称。例如，在RedHatLinux系统中，该文件的初始值仅允许本地虚拟控制台(rtys)以root权限登录，而不允许远程用户以root权限登录。最好不要修改该文件，如果一定要从远程登录为root权限，最好是先以普通账号登录，然后利用su命令升级为超级用户。5、谨慎使用：“r系列”远程程序管理在Linux系统中有一系列r字头的公用程序，比如rlogin，rcp等等。它们非常容易被黑客用来入侵我们的系统，因而非常危险，因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用。rhosts文件或者hostsequiv文件核准进入的，因此一定要确保root账号不包括在这些文件之内。由于r等远程指令是黑客们用来攻击系统的较好途径，因此很多安全工具都是针对这一安全漏洞而设计的。例如，PAM工具就可以用来将r字头公用程序有效地禁止掉，它在/etc/pamd/rlogin文件中加上登录必须先核准的指令，使整个系统的用户都不能使用自己home目录下的。rhosts文件。6、限制：root用户权限管理Root一直是Linux保护的重点，由于它权力无限，因此最好不要轻易将超级用户授权出去。但是，有些程序的安装和维护工作必须要求有超级用户的权限，在这种情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。sudo程序允许一般用户经过组态设定后，以用户自己的密码再登录一次，取得超级用户的权限，但只能执行有限的几个指令。例如，应用sudo后，可以让管理磁带备份的管理人员每天按时登录到系统中，取得超级用户权限去执行文档备份工作，但却没有特权去作其他只有超级用户才能作的工作。sudo不但限制了用户的权限，而且还将每次使用sudo所执行的指令记录下来，不管该指令的执行是成功还是失败。在大型企业中，有时候有许多人同时管理Linux系统的各个不同部分，每个管理人员都有用sudo授权给某些用户超级用户权限的能力，从sudo的日志中，可以追踪到谁做了什么以及改动了系统的哪些部分。值得注意的是，sudo并不能限制所有的用户行为，尤其是当某些简单的指令没有设置限定时，就有可能被黑客滥用。例如，一般用来显示文件内容的/etc/cat指令，如果有了超级用户的权限，黑客就可以用它修改或删除一些重要的文件。7、追踪黑客踪迹：日志管理当用户仔细设定了各种与Linux相关的配置(最常用日志管理选项)，并且安装了必要的安全防护工具之后，Linux操作系统的安全性的确大为提高，但是却并不能保证防止那些比较熟练的网络黑客的入侵。在平时，网络管理人员要经常提高警惕，随时注意各种可疑状况，并且按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如：正常用户在半夜三更登录;不正常的日志记录，比如日志只记录了一半就切断了，或者整个日志文件被删除了;用户从陌生的网址进入系统;因密码错误或用户账号错误被摈弃在外的日志记录，尤其是那些一再连续尝试进入失败，但却有一定模式的试错法;非法使用或不正当使用超级用户权限su的指令;重新开机或重新启动各项服务的记录。上述这些问题都需要系统管理员随时留意系统登录的用户状况以及查看相应日志文件，许多背离正常行为的蛛丝马迹都应当引起高度注意。8、横向扩展：综合防御管理防火墙、IDS等防护技术已经成功地应用到网络安全的各个领域，而且都有非常成熟的产品。在Linux系统来说，有一个自带的Netfilter/Iptables防火墙框架，通过合理地配置其也能起到主机防火墙的功效。在Linux系统中也有相应的轻量级的网络入侵检测系统Snort以及主机入侵检测系统LIDS(Linux Intrusion Detection System)，使用它们可以快速、高效地进行防护。需要提醒注意的是：在大多数的应用情境下，我们需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口对来过滤网络流量，而IDS更加具体，它需要通过具体的数据包(部分或者全部)来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。9、评测：漏洞追踪及管理Linux作为一种优秀的开源软件，其自身的发展也日新月异，同时，其存在的问题也会在日后的应用中慢慢暴露出来。黑客对新技术的关注从一定程度上来说要高于我们防护人员，所以要想在网络攻防的战争中处于有利地位，保护Linux系统的安全，就要求我们要保持高度的警惕性和对新技术的高度关注。用户特别是使用Linux作为关键业务系统的系统管理员们，需要通过Linux的一些权威网站和论坛上尽快地获取有关该系统的一些新技术以及一些新的系统漏洞的信息，进行漏洞扫描、渗透测试等系统化的相关配套工作，做到防范于未然，提早行动，在漏洞出现后甚至是出现前的最短时间内封堵系统的漏洞，并且在实践中不断地提高安全防护的技能，这样才是一个比较的解决办法和出路。10、保持更新：补丁管理Linux作为一种优秀的开源软件，其稳定性、安全性和可用性有极为可靠的保证，世界上的Linux高手共同维护着个优秀的产品，因而起流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。Kernel是Linux操作系统的核心，它常驻内存，用于加载操作系统的其他部分，并实现操作系统的基本功能。由于Kernel控制计算机和网络的各种功能，因此，它的安全性对整个系统安全至关重要。早期的Kernel版本存在许多众所周知的安全漏洞，而且也不太稳定，只有20x以上的版本才比较稳定和安全(一般说来，内核版本号为偶数的相对稳定，而为奇数的则一般为测试版本，用户们使用时要多留意)，新版本的运行效率也有很大改观。在设定Kernel的功能时，只选择必要的功能，千万不要所有功能照单全收，否则会使Kernel变得很大，既占用系统资源，也给黑客留下可乘之机。在Internet上常常有最新的安全修补程序，Linux系统管理员应该消息灵通，经常光顾安全新闻组，查阅新的修补程序。

牢记以下这七点会让你的Linux服务器变得更安全

   图1：运行中的服务。

安装所需的服务

如果你打算运行一台服务器，可能会想“我有来自Linode的40GB固态硬盘(SSD)存储系统，于是我可以安装想要安装的任何服务。”没错，你的地盘你作主：可以在服务器上安装任意软件。不过，别犯想当然的毛玻连最固若金汤的服务器也会因有人钻了在该服务器上运行的任何未打补丁或易受攻击的软件组件的空子而被劫持。

所以，头一条规则就是让你的服务器尽量精简。只安装你确实需要的那些程序包。要是有不需要的程序包，那就清除。程序包数量越少，代码没打上补丁的可能性就越校在安装任何软件和依赖程序包(比如ownCloud)之前，你应该读一下ownCloud的说明文档，只安装它需要的那些程序包。

运行所需的服务

第二条规则就是只运行需要的那些服务。许多发行版或程序包可能会开启某些服务，在不同的端口上运行。这可能会带来安全风险。于是，打开终端，运行下列命令：netstat -npl

输出结果会显示哪些服务在哪些端口上运行。如果你发现任何不应该运行的服务，停止它。你还应该密切关注已被启用、系统启动时运行的服务。只要在运行systemd的系统上运行下列命令，就可以来检查这方面：systemctl list-unit-files --type=service | grep enabled

视系统而定，你会获得如上图1中所示的输出结果。要是你发现任何不需要的服务，可以使用强大的systemct1命令来禁用它：systemctl disable service_name

限制对服务器的访问

就好比你不会把自家钥匙随随便便交给认识的人，也不会将访问服务器的权限交随随便便授予认识的人。一旦明确了这个规则，就可以限制对服务器的访问。要牢记这点：这一切打消不了决意要破坏你服务器的坏人的念头。不过，其作用在于为你的服务器增添了多一层的安全，防范只是捡漏的不法分子。

千万不要以根用户的身份登录

以超级用户的身份通过ssh进入到服务器不是一个好做法。我们后面会禁止以根用户身份通过ssh进入到服务器，不过在这么做之前，不妨创建一个拥有sudo权限的用户，那样你就能通过ssh进入到服务器，执行管理员任务了。一旦你登录进入到服务器，总是可以将用户切换成根用户，如果需要的话。如果你已经在系统上有了用户，就跳过几步;不然，跟着我走。

不同的发行版使用不同的方法来添加新用户;Red Hat/CentOS使用useradd，Ubuntu/Debian使用user adduser。

在Fedora/CentOS上创建新用户：useradd swapnil

然后，为该用户创建密码：passwd swapnil

它会要求你为它提供用户的新密码。现在，你需要为该用户授予sudo权限。运行下列命令：EDITOR=nano visudo

寻找下面这一行(见图2)：# %wheel ALL=(ALL) ALL

   图2：为用户授予sudo权限。

去掉该行的注释(#符号意味着该行被注释;只要去掉这个符号，即可去掉注释)，那样它看起来就像这样：%wheel ALL=(ALL) ALL

现在，保存并关闭文件。如果用户不属于wheel组，你只要运行下面这个命令，就可以将它轻松添加到组：# usermod -aG wheel swapnil

在Ubuntu系统上，你可以添加新用户，为此运行下列命令：adduser swapnil

回答系统提出的一些问题，包括为该用户创建密码。一旦创建完毕，为用户授予sudo权限：gpasswd -a swapnil sudo

打开另一个终端窗口，试着以刚创建的用户的身份登录进入到服务器，试着以sudo权限执行一些管理员任务。要是一切正常，进入到下一步。

禁用根用户登录

我们现在要禁用根用户登录，这意味着没人能够以根用户的身份通过ssh或登录进入到服务器。为此，打开sshd配置文件：nano /etc/ssh/sshd_conf

下一步，寻找显示下列内容的这一注释行：#PermitRootLogin no

然后保存并关闭该文件，重启服务：service ssh restart或者systemctl restart sshd

重要提醒：这时切莫退出服务器。你要测试能不能使用刚创建的用户成功地通过ssh进入到服务器。打开终端的另一个实例，以之前创建的用户通过ssh进入到服务器。你不希望完全被锁在服务器外面。要是一切都正常，你可以以根用户身份安全地注销退出服务器。

变更端口

我们对sshd配置文件要进行的第二个变化就是更改默认端口。这主要是增添一层隐匿性，让你的服务器确保安全，而不是给服务器果真增添任何实际的安全机制。这就好比保安服务公司派一样的车辆来运送重要人物，那样攻击者就不知道该攻击哪些车了。

打开sshd_config文件(这回以sudo权限打开，因为你再也不能以根用户身份登录进入到服务器了)：sudo nano /etc/ssh/sshd_conf

然后，找到这一注释行：#Port 22

去掉该行注释，选择一个端口号。在选择端口时，务必要确保它没有被你系统上的其他任何服务所使用，我为服务器选择了端口1977：Port 1977

下一步，保存并关闭文件，重启sshd服务。再一次，注销退出服务器之前，检查一下设置，为此可以打开另一个终端窗口，然后使用该模式登录进去：ssh -p{port_number}@server_IP

示例：

ssh -p1977

swapnil@1014190118

如果你能成功登录进去，就搞定了。

无密码登录

你可以通过无密码登录更容易通过ssh进入到服务器，并且完全禁用密码验证，增添另一层安全。务必要牢记一点：你只能够从创建ssh密钥的那台机器登录进入到你的服务器。

不妨使用下列命令，在本地系统上创建ssh密钥(见图3)：ssh-keygen - t rsa

   图3：创建ssh密钥。

它会提出一些问题;你不用更改密钥位置，保留其默认值，为它提供一个难以猜中的通行码。下一步，你需要将这些密钥拷贝到服务器上，那样两台机器就能使用密钥与对方进行联系了。

cat ~/ssh/id_rsapub | ssh -p 1977 swapnil@remote-server ";mkdir -p ~/ssh cat ~/ssh/authorized_keys"

现在，试着从另一个终端通过ssh进入到服务器;要是一切正常，它不会要求你输入密码。

这一步主要是为了方便，而不是增添一些实实在在的安全。不过你也可以增添一点安全，只要禁用服务器的密码验证。只需打开sshd配置文件，寻找这注释的一行：#PasswordAuthentication yes

去掉该行注释，将它从yes改成no。保存并关闭文件。然后，重启sshd服务。再一次，切莫从当前窗口关闭服务器连接。打开另一个窗口，登录进入到服务器(确保它没有要求输入密码)。

这个设置的另一个方面在于，你现在只能从创建ssh密钥的那一台机器通过ssh进入到服务器。如果你经常从不同的机器登录进入到服务器，千万不要使用这一方法。

这些是试图自行运行服务器的新用户需要考虑的一些基本方面。牢记一点：黑客总是先行一步;他们不断寻找进而闯入你服务器的任何漏洞。因而，最佳实践就是对你的服务器做一套始终最新的备份。我建议你在对站点做任何变化前后都应该进行备份。那样一来，万一你的服务器中了招，总是能够从上一套备份恢复过来。

Linux做路由或网关一般并不需要安装什么软件,因为Linux自己的netfiler/iptables就是一个很好的防火墙,也具备NAT的功能。如果想让Linux做一个完整功能的路由器（具备rip/ospf路由功能），可以安装zebra软件。

安全建议可以参看以下几点：

1加固服务器自身，例如强密码设置，文件系统权限的设置，关闭不必要的服务等

2妥善配置iptables防火墙规则

3可以安装一些监控工具，加强对系统的监控，如wireshark、cacti等

4安装IDS软件，进行入侵检测