小措施提高Linux服务器安全

作者：王啸（微博：@某L ，原文：2byte.us）本文由原作者投稿于伯乐在线，也欢迎其他朋友投稿。提示：投稿时记得留下微博账号哦 ~***很多时候是个体力活。挂着扫描器，漫无目的的寻找不设防的主机，植入后门，控制，卖给需要的人。所以，一些基本的安全措施可以避免太过容易成为目标，下面就小小的介绍一些。禁止root远程登录作为默认系统管理账号root是最容易***的目标。禁止通过ssh远程登录是绝对必须的。方法：编辑 /etc/ssh/sshd_config同时，请为管理员建立个人账户，并分配到sudoers用户组(默认为%admin)修改SSHD默认端口远程服务SSHD的默认端口22也是端口扫描的重点目标，修改为其他端口（通常为1024以上）可避免大部分***。 方法： 编辑 /etc/ssh/sshd_config使用SCP代替FTPFTP虽然方便，但是安全性一直被诟病。后台文件管理时，用加密的SCP方式可以更好的解决这个问题。SCP利用了SSHD的服务，所以不需要在服务器另外配置，直接调整账号权限即可。Windows下可以使用软件winscp连接服务器。官方网站： http://winscp.net
安装denyhostsDenyhost可以帮你自动分析安全日志，直接禁止可疑主机暴力破解。Debian用户可以直接使用apt安装官方网站： http://denyhosts.sourceforge.net/
谨慎控制目录和文件权限，灵活使用用户组例如，如果监控程序munin需要访问网站日志，请不要修改日志文件的权限设置，而是将munin加入www-data用户组为系统程序使用专用账号尽量为每个系统程序使用专用账号，避免使用root如mysql, munin 等，灵活使用 sudo -u example_user 等命令切换执行用户和用户组
从官方网站下载puttyPutty是非常流行的windows平台远程工具，但不要贪图方便随意下载。如此重要且免费的软件，请从官方网站下载，并且最好进行完整性校验。官方网站：http://www.chiark.greenend.org.uk/~sgtatham/putty/
后记希望这些有助于提高您网站的安全性
伯乐在线补充关于前文提到的 putty 和 WinSCP，2012年1月末，有网友发现这两款开源软件的中文版带有后门（[b]详情见微博）[/b]。鉴于此，各位在下载软件时，请直接前往官网下载。再啰嗦一句，如果不知道官网，在选择搜索引擎时，用 Google ！！！此文，关于提高Linux服务器安全这个话题，如果各位还有其他建议，或相关书籍，或相关文章，不妨推荐。