阿里云優(yōu)惠券 先領(lǐng)券再下單

書接上文，這次主要分享一下linux的安全方面的配置。

一、端口

使用iptables全部禁止，之后只允許開放必須的端口，比如21,22,80等，但除了80之外，ftp和ssh的端口我們最好修改一下，這樣也給黑客掃描帶來一些難度，還得說明一下，你的服務器被黑說明對方的水平比你高，但大多數(shù)不是真正的高，而是用一些高手寫的工具來掃描你的服務器。所謂蒼蠅不叮無縫的雞蛋。

二、用戶

刪除一切默認用戶，禁止root用戶遠程登錄，鎖定passwd、group文件，不許任何人訪問。只開放必須的用戶，比如來自internet的用戶，盡量的控制權(quán)限。自己的管理密碼要定期更新，推薦使用自動產(chǎn)生密碼的工具，復雜度足夠，特別是當先黑鏈盛行，攻破一臺服務器能帶來相當利益的情況下，更應該注意。

三、應用程序

在應用程序上，不要使用現(xiàn)成的模板，特別是免費的，你能得到，大家都能得到，任何的程序理論上都是有漏洞的，如果一個程序使用者太多，并且找到漏洞后會獲得很大利益，那就要注意。所謂無利不起早。每天關(guān)注訪問日志，就能看到，大量的掃描程序訪問，一般都是試圖訪問特定的程序或者文件，如果發(fā)現(xiàn)你在使用，并且還沒有修補漏洞，那你就要小心了。

四、設計靈活的限制訪問策略

雖然apache已經(jīng)提供了強大的訪問控制，但還不夠靈活，最好自己能細粒度的控制訪問策略，做到盡量讓我們的客戶能正常訪問，拒絕大部分的惡意訪問。

惡意訪問，分為很多，比如盜鏈，會使用我們寶貴的帶寬和服務器資源，為他人提供相關(guān)服務，但如果利用的好的話，反而會給我們帶來流量，所謂魔高一尺，道高一丈。因為工作的關(guān)系，這個內(nèi)容可以展開來說，找機會做個這方面的專題，展示幾個花腐朽為神奇的例子。

還比如惡心抓取，盜用我們辛辛苦苦組織的內(nèi)容。我們可以從ip上，訪問頻率上，隨即的url參數(shù)上進行屏蔽，但主要是有可靠的發(fā)現(xiàn)機制。

五、服務器監(jiān)控上

服務器監(jiān)控是必不可少的，但不推薦使用復雜的監(jiān)控軟件，像nagios，主要是出于性能的考慮，本來服務器就不堪重負，再給他加上沉重的負擔。

推薦可以自己寫一些監(jiān)控的shell腳本，都很簡單的，檢測幾項關(guān)鍵的指標，比如cpu負載，內(nèi)存使用率，硬盤讀寫高峰，網(wǎng)卡流量等?？梢允褂胏ron定期執(zhí)行。

應用程序的運行情況，日志是必不可少的，運行期的日志一個檢測程序運行狀態(tài)，是否良好，二是在出錯的時候，可以早到出錯點，加以改正。

訪問日志，是我們了解用戶行為的唯一手段。是提升網(wǎng)站內(nèi)容質(zhì)量的關(guān)鍵指標依靠。網(wǎng)站的改版，功能的添加都要在分析日志基礎上得出結(jié)論。

本次分享完畢，請期待我下一次分享。

本系列文章由阿土伯爆笑笑話()站長撰寫，首發(fā)A5，轉(zhuǎn)載請留鏈接

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！