服务器怎么做好安全防护

1、服务器初始安全防护

安装服务器时，要选择绿色安全版的防护软件，以防有被入侵的可能性。对网站提供服务的服务器，软件防火墙的安全设置最高，防火墙只要开放服务器端口，其他的一律都关闭，你要访问网站时防火墙会提示您是否允许访问，在根据实际情况添加允许访问列表。这样至少给系统多一份安全。

2、修改服务器远程端口。

因为有不少不法分子经常扫描公网IP端口，如果使用默认的3389或者Linux的22端口，相对来说是不安全的，建议修改掉默认远程端口。

3、设置复杂密码。

一但服务器IP被扫描出来默认端口，非法分子就会对服务器进行暴力破解，利用第三方字典生成的密码来尝试破解服务器密码，如果您的密码足够复杂，非法分子就需要大量的时间来进行密码尝试，也许在密码未破解完成，服务器就已经进入保护模式，不允许登陆。

4、修补已知的漏洞

如果网站出现漏洞时不及时处理，网站就会出现一系列的安全隐患，这使得服务器很容易受到病毒入侵，导致网络瘫痪，所以，平时要养成良好的习惯，时刻关注是否有新的需修补的漏洞。

5、多服务器保护

一个网站可以有多个服务器，网站被攻击时，那么我们就可以选择不一样的方式进行防范，针对不同的服务器，我们应该设置不同的管理，这样即使一个服务器被攻陷，其他的服务还可以正常使用。

6、防火墙技术

现在防火墙发展已经很成熟了，防火墙可以选择安全性检验强的，检验的时间会较长，运行的过程会有很大负担。如果选择防护性低的，那么检验时间会比较短。我们在选择防护墙时，要根据网络服务器自身的特点选择合适的防火墙技术。

7、定时为数据进行备份。

定时为数据做好备份，即使服务器被破解，数据被破坏，或者系统出现故障崩溃，你只需要进行重装系统，还原数据即可，不用担心数据彻底丢失或损坏。

做好网站服务器的安全维护是一项非常重要的工作，只有做好了服务器安全工作，才能保证网站可以稳定运营。要想做好网站服务器安全维护，还要学习更多的维护技巧。

1、定期更新系统和软件补丁

不论是Windows还是Linux，任何操作系统都有漏洞，及时安装补丁，避免被不法分子恶意利用攻击。同时，需要定期安装最新的操作系统，减少系统漏洞，提高服务器的安全性。

2、加强密码保护

密码保护是安全防护的第一道防线，大部分的网络攻击都是从弱口令入手。一旦网络不法分子进入了系统，之前做的安全防护工作将会大打折扣。加强对服务器系统账号和密码管理，是保证系统安全非常重要的措施。

3、定期进行备份

为防止不能预料的系统故障或用户不小心的非法操作导致最重要的数据和文件丢失等情况发生，必须对服务器进行安全备份。备份很重要，除了对全系统进行每月一次备份之外，还应对修改过的数据进行每周一次备份，本地备份的同时还要进行异地备份。当发生原始数据不幸损坏、丢失等情况时，企业可以利用备份数据保证业务的运行。

4、关闭非必须的服务和端口

在服务器操作系统安装时，会启动一些不需要的服务，占用系统资源的同时，还会增加系统的安全隐患。对于不常用的服务，可以将其完全关闭。

5、监测系统日志

通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号等。日志程序会定期生成报表，企业相关人员通过对报表进行分析，可以知道是否有异常现象。

6、及时更新软件版本

可以避免你的服务器处于危险之中，使其漏洞被黑客利用并入侵，使用专业的安全漏洞扫描程序是一种保持软件实时更新的方式之一。

7、进行定期和频繁的安全检查

如果不定期开展安全检查工作，就无法知道潜藏的安全问题，从而服务器得不到基本的安全保障。定期对服务器进行安全检测，可采取漏洞扫描、渗透测试、代码审计等手段进行安全漏洞排查。

防止被蹭网，主要有以下几个办法：

（1）关于密码

①设置大小写字母、数字、符号等混合密码，例如——Z_W;wR"yY#I:mAF。不过这样的密码手动输入太繁琐，如果家里常来客人，而无线路由器又没有访客WiFi功能，会很不方便。比较折中的方案是大写和小写字母、数字，这三类混合而成的16位密码，例如——N6pJ7YY8tnGw0xbZ。

②每月或每半年改一次WiFi密码，可防止被暴力破解。另外WiFi密码可以明文写在日历等显眼处，方便家里人查看，WiFi密码不同于其它密码，明文写在家里不用担心。

（2）关于路由器设置

绑定IP地址与设备MAC物理地址，并限定MAC物理地址访问权，这是部分路由器拥有的高级功能，是更有效的防蹭网方法，也省去了频繁改密码的操作，WiFi密码也可以设置更简单一点。

以普联路由器为例，下图是限定特定MAC物理地址的设备才能访问WiFi：

下图是绑定IP地址和MAC物理地址：

现如今，不同品牌的路由器基本都具有这类高级功能，只是布局或逻辑稍有不同，参考对应型号路由器的说明书即可设置成功。

防火墙开了不顶用，你在防火墙里添加个安全措施，禁止那个人的IP访问你的服务器，或是端口，你先把网线拔了设置。

打开防火墙的“高级安全”，点击新建规则。

进入，新建规则入站向导，选择自定义。

点击下一步后，点击程序，选中默认所有程序。

点击，协议和端口，全部默认，然后继续点击下一步。

进入到作用域，找到下列IP地址，点击添加按钮，添加你需要过滤的ip地址。

点击下一步，选中阻止链接，继续点击下一步。

进入到配置文件，何时应用该规则，全部默认即可。

进入到名称，填写名称，和描述，点击完成就可以了。

Denyhosts是一个Linux系统下阻止暴力破解SSH密码的软件，它的原理与DDoS Deflate类似，可以自动拒绝过多次数尝试SSH登录的IP地址，防止互联网上某些机器常年破解密码的行为，也可以防止黑客对SSH密码进行穷举。

众所周知，暴露在互联网上的计算机是非常危险的。并不要因为网站小，关注的人少或不惹眼就掉以轻心：互联网中的大多数攻击都是没有目的性的，黑客们通过大范围IP端口扫描探测到可能存在漏洞的主机，然后通过自动扫描工具进行穷举破解。笔者的某台服务器在修改SSH 22号端口之前，平均每天接受近百个来自不同IP的连接尝试。而DenyHosts正是这样一款工具。下文将对该工具的安装与使用方法进行介绍。

DenyHosts阻止攻击原理

DenyHosts会自动分析 /var/log/secure 等安全日志文件，当发现异常的连接请求后，会自动将其IP加入到 /etc/hostsdeny 文件中，从而达到阻止此IP继续暴力破解的可能。同时，Denyhosts还能自动在一定时间后对已经屏蔽的IP地址进行解封，非常智能。

官方网站

Denyhosts的官方网站为：http://denyhostssourceforgenet/ （杜绝Putty后门事件，谨记安全软件官网）

安装方法

1、下载DenyHosts源码并解压（目前最新版为26）

1 [root@www ~]# wget http://sourceforgenet/projects/denyhosts/files/denyhosts/26/DenyHosts-26targz

2 [root@www ~]# tar zxvf DenyHosts-26targz

3 [root@www ~]# cd DenyHosts-26

2、安装部署

1 [root@www DenyHosts-26]# yum install python -y

2 [root@www DenyHosts-26]# python setuppy install

3、准备好默认的配置文件

1 [root@www DenyHosts-26]# cd /usr/share/denyhosts/

2 [root@www denyhosts]# cp denyhostscfg-dist denyhostscfg

3 [root@www denyhosts]# cp daemon-control-dist daemon-control

4、编辑配置文件denyhostscfg

1 [root@www denyhosts]# vi denyhostscfg

该配置文件结构比较简单，简要说明主要参数如下：

PURGE_DENY：当一个IP被阻止以后，过多长时间被自动解禁。可选如3m（三分钟）、5h（5小时）、2d（两天）、8w（8周）、1y（一年）；

PURGE_THRESHOLD：定义了某一IP最多被解封多少次。即某一IP由于暴力破解SSH密码被阻止/解封达到了PURGE_THRESHOLD次，则会被永久禁止；

BLOCK_SERVICE：需要阻止的服务名；

DENY_THRESHOLD_INVALID：某一无效用户名（不存在的用户）尝试多少次登录后被阻止；

DENY_THRESHOLD_VALID：某一有效用户名尝试多少次登陆后被阻止（比如账号正确但密码错误），root除外；

DENY_THRESHOLD_ROOT：root用户尝试登录多少次后被阻止；

HOSTNAME_LOOKUP：是否尝试解析源IP的域名；

大家可以根据上面的解释，浏览一遍此配置文件，然后根据自己的需要稍微修改即可。

5、启动Denyhosts

1 [root@www denyhosts]# /daemon-control start

如果需要让DenyHosts每次重启后自动启动，还需要：

6、设置自动启动

设置自动启动可以通过两种方法进行。

第一种是将DenyHosts作为类似apache、mysql一样的服务，这种方法可以通过 /etc/initd/denyhosts 命令来控制其状态。方法如下：

1 [root@www denyhosts]# cd /etc/initd

2 [root@www initd]# ln -s /usr/share/denyhosts/daemon-control denyhosts

3 [root@www initd]# chkconfig --add denyhosts

4 [root@www initd]# chkconfig -level 2345 denyhosts on

第二种是将Denyhosts直接加入rclocal中自动启动（类似于Windows中的“启动文件夹”）：

1 [root@www denyhosts]# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rclocal

如果想查看已经被阻止的IP，打开/etc/hostsdeny 文件即可。