Linux服务器安全加固

关于对公司网站服务器安全加固的一些想法及思路：

一、修改密码和ssh登录端口，并且尽可能的用密钥对登录，禁止用密码登录（主要针对Linux）
二、修改/etc/hosts.allow 设置仅仅允许某几台去ssh
sshd:45.195.
修改/etc/hosts.deny
sshd:ALL
in.telnet:ALL
三、把系统中的一些不必要的用户和组可以直接注释掉，例如mail，postfix这些邮件相关的可以注释掉，可以减小黑客通过这样的账户进入系统进行提权操作。
四、开机自动启动的服务尽可能减少，除了nginx（apache）、mysql、宝塔、php等相关的，其余的尽可能的减少
五、关闭无用的端口，同上。
六、所有重要文件的权限需要尽可能的严格设置（这下面的内容有点多）
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services
chattr +a .bash_history #避免删除.bash_history或者重定向到/dev/null

修改系统重要执行命令的权限
chmod 700 /usr/bin
chmod 700 /bin/ping
chmod 700 /usr/bin/vim
chmod 700 /bin/netstat
chmod 700 /usr/bin/tail
chmod 700 /usr/bin/less
chmod 700 /usr/bin/head
chmod 700 /bin/cat
chmod 700 /bin/uname
chmod 700 /bin/ps
chmod -R 700 /etc/rc.d/init.d/*
chmod 700 /usr/bin/chmod
chmod 700 /usr/bin/chown

七.网站和数据库做到定期备份，目录和文件的权限要严格设置，不能让其提权
八.要适当利用Linux的特殊权限作出针对性的设置，合理利用sticky权限位提高安全性，网站目录给定的权限需要给定1755
chmod 1755 目录名
chmod o+t 目录名
九.ssh登录的方式尽量采取证书登录而非密码登录 （所有Linux服务器已经全部支持证书登录了，目标已完成）
十：禁用系统用户权限

十一:修改默认命令记录历史（vim  /etc/bashrc）

export HISTSIZE=1000000         #修改命令记录条数

export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S   `whoami`   "   　　　　#记录操作时间、操作用户

source /etc/bashrc

十二：关闭Centos7的111端口

由于111端口是有系统1号进程服务systemd启动，其上面跑的是rpcbind服务，停止的方法不能用kill，具体方法如下

# 停止进程
$ systemctl stop rpcbind.socket
$ systemctl stop rpcbind

# 禁止随开机启动
$ systemctl disable rpcbind.socket
$ systemctl disable rpcbind