現(xiàn)在許多生產(chǎn)服務(wù)器都是放置在IDC機(jī)房里的，有的并沒有專業(yè)的硬件防火墻保護(hù)，我們應(yīng)該如何做好其基礎(chǔ)的安全措施呢?個(gè)人覺得應(yīng)該從如下幾個(gè)方面著手。

·首先要保證自己的Linux服務(wù)器的密碼絕對(duì)安全，筆者一般將root密碼設(shè)置在28位以上，而且某些重要的服務(wù)器必須只有幾個(gè)人知道root密碼，這將根據(jù)公司管理層的權(quán)限來設(shè)置，如果有系統(tǒng)管理員離職，root密碼一定要更改?，F(xiàn)在我們的做法一般是禁止root遠(yuǎn)程登錄，只分配一個(gè)具有sudo權(quán)限的用戶。

服務(wù)器的賬號(hào)管理一定要嚴(yán)格，服務(wù)器上除了root賬號(hào)外，系統(tǒng)用戶越少越好，如果非要添加用戶來作為應(yīng)用程序的執(zhí)行者，請(qǐng)將他的登錄Shell設(shè)為nologin，即此用戶是沒有權(quán)利登錄服務(wù)器的。終止未授權(quán)用戶，定期檢查系統(tǒng)有無多余的用戶都是很有必要的工作。

另外，像vsftpd、samba及MySQL的賬號(hào)也要嚴(yán)格控制，盡可能只分配給他們滿足基本工作需求的權(quán)限，而像MySQL等的賬號(hào)，不要給任何用戶grant權(quán)限。

·防止SSH暴力破解是一個(gè)老生常談的問題，解決這個(gè)問題有許多種方法：有的朋友喜歡用iptables的recent模塊來限制單位時(shí)間內(nèi)SSH的連接數(shù)，有的用DenyHosts防SSH暴力破解工具，應(yīng)盡可能采用部署服務(wù)器密鑰登錄的方式，這樣就算對(duì)外開放SSH端口，暴力破解也完全沒有用武之地。

·分析系統(tǒng)的日志文件，尋找入侵者曾經(jīng)試圖入侵系統(tǒng)的蛛絲馬跡。last命令是另外一個(gè)可以用來查找非授權(quán)用戶登錄事件的工具。last命令輸入的信息來自于/var/log/wtmp。這個(gè)文件詳細(xì)地記錄著每個(gè)系統(tǒng)用戶的訪問活動(dòng)。

有經(jīng)驗(yàn)的入侵者往往會(huì)刪掉/var/log/wtmp以清除自己非法行為的證據(jù)，但是這種清除行為還是會(huì)露出蛛絲馬跡：

在日志文件里留下一個(gè)沒有退出的操作和與之對(duì)應(yīng)的登錄操作(雖然在刪除wtmp的時(shí)候登錄記錄沒有了，但是待其登出的時(shí)候，系統(tǒng)還是會(huì)把它記錄下來)，不過高明的入侵者會(huì)用at或Crontab等自己登出之后再刪文件。

·建議不定期用grep error/var/log/messages檢查自己的服務(wù)器是否存在著硬件損壞的情況，由于服務(wù)器長年擱置在機(jī)房中，最容易損壞的就是硬盤和風(fēng)扇，因此在進(jìn)行這些方面的日常維護(hù)時(shí)要格外注意，最好是定期巡視我們的IDC托管機(jī)房。

·建議不定期使用Chkrootkit應(yīng)用程序?qū)ootkit的蹤跡和特征進(jìn)行查找，從它的報(bào)告中我們可以分析服務(wù)器否已經(jīng)感染木馬。

·停掉一些系統(tǒng)不必要的服務(wù)，強(qiáng)化內(nèi)核。多關(guān)注一下服務(wù)器的內(nèi)核漏洞，現(xiàn)在Linux的很多攻擊都是針對(duì)內(nèi)核的，應(yīng)盡量保證內(nèi)核版本是最新的。