一直以来，互联网服务器黑客入侵事件频发，很多阿里云服务器租用客户安全意识不高，被黑客入侵非常普遍。黑客入侵可能带来网站被挂病毒、木马，数据被黑客删除，黑客利用服务器对外攻击别人，占用服务器的磁盘和带宽等等。为了提高您所使用主机的安全性，建议您做好系统安全，提升安全防护意识：系统安全的基本原则，只启动需要的服务，只提供需要的端口访问，关注系统补丁更新。在经济条件许可的情况下，推荐在安全加固的基础上，采购万维景盛WAF安全防火墙服务，可以将入侵者拦截在半路上。

这里分享一下Linux服务器安全加固的常用方法：

1.更新软件包

centos: yum update -y

debian/ubuntu: apt update && apt upgrade -y

#升级系统小版本

centos: yum upgrade -y

2.设置相对复杂的密码

建议密码包含字母,数字,符号,大小写,以及长度

3.修改默认远程端口

/etc/ssh/sshd_config

Port 22000

systemctl restart sshd

4.防火墙设置

只放行常用的端口,如远程:22000(如果本地公网ip固定,最好设置只允许本地公网ip),web:80,ftp:21

禁用udp端口,只放行请求外部53端口

ubuntu/debian需安装: apt-get install iptables

centos: /etc/sysconfig/iptables

ubuntu: /etc/iptables.rules

debian: /etc/iptables/rules.v4

参考规则:

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22000 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -p udp -j DROP

COMMIT

service iptables reload 或者 systemctl reload iptables

debian导入iptables规则： /sbin/iptables-restore < /etc/iptables/rules.v4

5.不提供外部连接的服务监听回环ip

如redis,mysql,elasticsearch,memcache等

示例:

/etc/redis/redis.conf

bind 127.0.0.1

6.关闭系统不需要的服务

列出正在运行的服务: pstree  

停止自启: 

centos6: chkconfig postfix off

centos7+/debian/ubuntu:  systemctl stop postfix ;systemctl disable postfix