focus on linux, c/c++, lua

linux server的幾個安全常識

1,關于ssh中的配置安全
sudo nano /etc/ssh/sshd_config
關掉ssh的root和xm11的登錄許可， 

#PermitRootLogin yes 改為如下的； PermitRootLogin no 注意，要把前面的#號去掉。

重啟sshd服務器 sudo /etc/init.d/ssh restart
同時可以修改ssh的端口。
2，不要安裝ftp服務，盡量少暴漏端口，如果傳輸文件，優先考慮用ssh協議，比如用winSCP傳輸文件，scp命令等。 

另外一個常用的需求是在你管理的服務器之間拷貝文件.盡管你可以在所有的服務器上都安裝一個FTP服務器,但這并不是一個理想的安全的解決方案.利用scp命令, SSH擁有拷貝文件的. 利用你已經建立的(SSH的)基于key的安全認證機制, 你可以在一個安全的通道上拷貝文件.

使用下面的命令來將一個本地文件拷貝到遠程主機:

scp /path/to/file user@remotehost:/path/to/destination

使用下面的命令來將一個遠程主機文件拷貝到本地:

scp user@remotehost:/path/to/file /path/to/destination

利用-r選項,來將一個本地目錄拷貝到遠程主機:

scp -r /path/to/directory/ user@remotehost:/path/to/destination/

如果你要傳輸日志文件或其他有較大壓縮比的文件, -C參數會很有幫助. 這會打開壓縮選項,雖然在拷貝的時候會使用更多的CPU,但是它會在傳輸的時候增加傳輸速度.

利用-l選項來限制可以使用的帶寬. 把你希望的帶寬放在-l后面, 它以K/s為單位. 例如,以256 Kbps的帶寬來傳輸文件使用下面的命令:

scp -l 256 /path/to/file user@remotehost:/path/to/destination

3, 用VI操作vipw中，限制一些用戶登錄。比如nobody,即使不做這個也沒事，后面我們用的denyhost可以防止ssh暴力破解。
4,修改mysql的一些配置，刪除掉空的用戶名和空的密碼用戶，修改root的密碼，最好不要再ssh中輸入密碼，在mysql下輸入，防止明碼暴漏。
mysql>use mysql;
mysql>update user set user="wghgreat" where user="root";
mysql>select host,user,password,select_priv,grant_priv from user;
mysql>delete from user where user=;
mysql>delete from user where password=;
mysql>delete from user where host=%;
mysql>drop database test;
mysql>flush privileges;
5,刪除操作歷史記錄
這些歷史文件包括~/.bash_history、~/.mysql_history等。如果打開它們，你會大吃一驚，怎么居然有一些明文的密碼在這里？！

#cat /dev/null > ~/.bash_history
#cat /dev/null > ~/.mysql_history
6，如果想看系統操作日志，去/var/log/syslog中去查看。
7，ban掉mysql的tcp連接，還在學習中，搞懂后會貼上來。
8，想用客戶端遠程連接mysql，必須要停掉slave服務器，修改my.cnf中的內網IP地址，修改完畢后還原

posted on 2010-04-24 15:11 zuhd 閱讀(1408) 評論(0)  編輯 收藏 引用 所屬分類: server