服务器安全大家怎么做的

Securing a Linux Server
http://spenserj.com/blog/2013/07/15/securing-a-linux-server/
这篇不错，可以看看

1 、关闭 root 密码登录，使用 SSH Key
2 、关闭 root 登录，使用常规用户 有需要的时候用 sudo
3 、使用 fail2ban
4 、系统和程序都随时更新升级到最新版本
5 、你网站千万千万不要用弱密码

如果服务器比较多，建议选择几台作为堡垒机，然后设置 iptables 规则，将 ssh 限制到堡垒机上

这样什么 fail2ban 都不需要装

堡垒机做 2 步认证，有现成的 PAM 模块

@Showfom 说的很完整了，补充个
关闭所有不需要用到的端口和协议.

安骑士，安全狗这些 3 方的东西，用处没想象中那么大的

@TimePPT 好的，我研究下

@Showfom 3q

@9hills 貌似有点高深

去看 digital ocean 的 vps tutorial 很详细一步步的啥都有

http://blog.csdn.net/jlds123/article/details/38110779
供参考

受益匪浅

目前大多数中小企业在 云上，腾讯云，阿里云， AWS, 青云， ucloud

云服务商 这块没有提供好的解决方案， 阿里云 默认给机器 安装了一个 aegis ( 安骑士客户端，也就是云盾客户端），其效果就是 定期探测服务器上几个敏感日志 和 一些文件，发现异常短信通知客户，比较占资源，而且大部分业内人士，认为 阿里云做的非常不专业

提供一种比较科学的方案，供参考：

三种机器角色 （生产机器， login 入口机器， master 管控机器 [一般是 ansible 或者 salt-master ] ）



1.首先根据网络区域，确定你们有几个网络节点， 然后每个节点，出一台 有公网的机器 作为该节点 入口 登录机器，出一台 机器 作为管控 master 机器， 该机器 默认可以免登录 所有 该节点生产机器

2. 上面入口 机器只允许 通过 ssh 可信认证登录 ，禁止密码，企业每个技术人员独立账号 （而且该机器禁止 非信任的源 IP 通过 root 登录），即该机器 对外 都是 只有普通登录权限 ， 作为 内网入口跳板机 功能

入口确定了，就可以在 入口 截获每个账号的 IO 流，后续安全审计（什么时间，什么人，在哪台业务机器，做过什么操作）


3. 业务机器，限定只能通过 login(可以有多个 login 机器）入口 和 master 登录进来 , login 一般 开发人员登录， master 运维人员登录


4. 所有生产机器， 内网 10.0.0.0/8 不限制， 公网如果有，如需要，开辟几个自己需要的公开 （这块也是 通过 master 统一 模块化管控 iptables )



更多细节 看下 xabcloud.com 的设计

如果实在不放心，对系统的所有文件进行 sha256 运算，并且把结果存起来，每次对系统进行更改，对更新的文件也再算一次 sha256.哪天感觉系统被黑了，对一下所有文件的 sha256,你就知道了。

哈

@akira 一般 web 应用就开 22 80 443 哈哈

只开 80 和 443 端口。。。。

这是一个很宽泛的问题
就如问，你猜我啥时候上天见马克思，一样

如果有人能给你答案，那这个人肯定是半瓶水

限定了只能用公司专线的固定 IP 登陆…

2 楼一定有故事

有没有人说说 win 系统的服务器该怎么做安全

大公司的堡垒机程序可能自己开发的 支持 Linux + win
我们一般用的可能只支持 Linux
安全狗这些不建议安装 因为策略调整可能会把自己挡在外面
按照二楼的教程
只开放需要的端口 其他全部关闭
用 SSHKEY 不开放密码登录 除非特别需要密码的 请更换端口 5 位数的