重要：切切不要忘记许可自定义的 ssh 端口。

许可你的IP地址经由过程防火墙，而毫不被樊篱，这一点很重要。IP地址定义鄙人面的文件中：

/etc/csf/csf.ignore 

被樊篱了的IP地址会涌如今这个文件中：

/etc/csf/csf.deny 

sudo /etc/init.d/csf restart 

下面是在某台办事器上的csf.deny文件的部分内容，来解释CSF是很有效的：

211.216.48.205 # lfd: (sshd) Failed SSH login from 211.216.48.205 (KR/Korea, Republic of/-): 5 in the last 3600 secs - Fri Mar 6 00:30:35 2015 
103.41.124.53 # lfd: (sshd) Failed SSH login from 103.41.124.53 (HK/Hong Kong/-): 5 in the last 3600 secs - Fri Mar 6 01:06:46 2015 
103.41.124.42 # lfd: (sshd) Failed SSH login from 103.41.124.42 (HK/Hong Kong/-): 5 in the last 3600 secs - Fri Mar 6 01:59:04 2015 
103.41.124.26 # lfd: (sshd) Failed SSH login from 103.41.124.26 (HK/Hong Kong/-): 5 in the last 3600 secs - Fri Mar 6 02:48:26 2015 
109.169.74.58 # lfd: (sshd) Failed SSH login from 109.169.74.58 (GB/United Kingdom/mail2.algeos.com): 5 in the last 3600 secs - Fri Mar 6 03:49:03 2015 

(1) 指定用户

可以看到，测验测验经由过程暴力法登录的IP地址都被樊篱了，真是眼不见心不烦啊！

锁住账户

如不雅某个账户在很长一段时光内都不会被应用了，那么可以将其锁住以防止其它人拜访。应用如下敕令：

passwd -l accountName 

当然，这个账户依然可以被root用户应用（LCTT 译注：可用 su 切换为该账号）。

懂得办事器上的办事

办事器的本质是为各类办事供给拜访功能。使办事器只运行所需的办事，封闭没有应用的办事。如许做不仅会释放一些体系资本，并且也会使办事器变得加倍安然。比如，如不雅只是运行一个简单的办事器，显然不须要X显示或者桌面情况。如不雅不须要Windows收集共享功能，则可以宁神封闭Samba。

应用下面的敕令能查看伴随体系启动而启动的办事：

chkconfig --list | grep "3:on" 

如不雅体系运行了systemd，履行这条敕令：

systemctl list-unit-files --type=service | grep enabled 

然后应用下面的敕令封闭办事：

或

在膳绫擎的例子中，把“service”调换成真正想要停止的办事名称。实例如下：

chkconfig httpd off 

Port 16543 

或

systemctl disable httpd 

一旦完成更改，应用这个敕令重启csf：

更多Linux安然相干

在如今的技巧范沉闼楝做一个完全安然的体系是一个弗成能实现的目标。正如 FBI 的 Dennis Hughes 所说，“真正安然的计算机是没有连线、锁在一个保险箱中、埋藏在一个机密场合的地下 20 英尺处的计算机……我甚至不肯定则样是否安然。”在不克不及选择经由过程拔掉落线缆、锁住和掩埋计算机来保护体系的世界里，可经由过程以下步调缩小 您体系的进击面。Open Web Application Security Project (OWASP) 的 进击面分析备忘录 供给了有关进击面的更多信息。

　　推荐阅读

　　五招让你的Ubuntu 16.04更安全

全平易近充电节 | 3月26日~30日 2000位IT行业拭魅战专家邀请你一路充电进修！ 如不雅想让Ubuntu办事器的安然机>>>详细阅读

本文标题：Linux系统安全加固需注意的几个要点及实际安全配置分享

地址：http://www.17bianji.com/lsqh/40821.html

 1/2    1