服务器安全常用策略

1、更换ssh端口

黑客通常只会扫描一些常用的端口，将ssh端口更换成30000-40000之间可以在一定程度上增加攻克难度

打开配置文件  sudo vi /etc/ssh/sshd_config
找到配置  Port 22

2、禁止root用户的ssh权限

用root登录ssh的访问都是我们日常工作中几乎唯一的控制系统的手段，也就给黑客可乘之机，很多ssh爆破问题都出在root用户身上，所以我们需要一个新的用户，去管理系统。
一般来说较高的ssh安全策略秉承以下几个原则。
a.禁止root用户ssh登录。
b.禁止口令的方式验证。
c.只允许一个用户拥有sodu的完整权限。
d.除非是堡垒机，系统中不允许存放私钥文件。
e.使用一个随机端口来代替22端口。

3、拒绝空密码登陆

PermitEmptyPasswords no

4、设置最多同时登陆ssh数量

MaxStartups 10  

5、/etc/ssh/sshd_config  限制修改配置文件的权限， 对所有非root用户设置只读权限，防止非授权用户修改sshd 服务的安全设置

6、IP黑名单白名单操作

服务器默认接受所有的请求连接，这是非常危险的，阻止或允许应用服务仅对某些主机开放，给系统在增加一道安全屏障。这部分设置共涉计到/etc/目录下的两个文件：hosts.allow和 hosts.deny。

7、防火墙策略

iptables

最高的防火墙策略是：全部关闭，逐个开启。

但这对于大多数人来说太复杂了，所以一般情况下我们只需要关注INPUT链即可。

(1)首先，清除原有的iptables规则。

在保证iptables所有链的默认规则为ACCEPT的前提下，使用以下命令：

iptables -F
iptables -X
iptabels -Z

8、双因子登陆

在这种多重认证的系统中，用户需要通过两种不同的认证程序：提供他们知道的信息（如用户名/密码），再借助其他工具提供用户所不知道的信息（如用手机生成的一次性密码）。这种组合方式常叫做双因子认证或者两阶段验证。

最后一句话，123456 这种密码就赶紧改掉吧，抵制弱密码，从我做起~