防黑加固Linux服务器安全加固？

使用一些安全测试的办法与工具对服务器进行风险检测，找出服务器的脆弱点以及存在的安全缺陷。

针对服务器 *** 作系统自身的安全测试，包括一些系统配置、主机漏洞扫描等等

查看服务器 *** 作系统当前用户是否为root用户，尽量避免使用root用户登录，启动其他服务程序，除非是一些需要root权限的安全工具，前提需要保证工具来源可信。终端需要 who 既可以查看当前登录用户。

登录到Linux系统，此时切换到root用户，下载lynis安全审计工具，切换到lynis运行脚本目录，执行 ./lynis --check-all –Q 脚本语句，开始对本地主机扫描审计，等待扫描结束，查看扫描结果。

登录到Linux系统，切换到root用户，使用命令行方式安装Clamav 杀毒软件，安装完毕需要更新病毒库，执行扫描任务，等待扫描结束获取扫描结果，根据扫描结果删除恶意代码病毒；

登录到Linux系统，切换到root用户，下载Maldetect Linux恶意软件检测工具，解压缩后完成安装。运行扫描命令检测病毒，等待扫描结束获取扫描报告，根据扫描报告删除恶意病毒软件；

登录到Linux系统，切换到root用户，下载Chkrootkit后门检测工具包，解压缩后进入 Chkrootkit目录，使用gcc安装Chkrootkit，安装成功即开始Chkrootkit扫描工作，等待扫描结束，根据扫描结果恢复系统；

登录到Linux系统，切换到root用户，下载RKHunter 后门检测工具包，解压缩后进入 RKHunter 目录，执行命令安装RKHunter ，安装成功即开始启用后门检测工作，等待检测结束，根据检测报告更新 *** 作系统，打上漏洞对应补丁；

使用下面工具扫描Web站点：nikto、wa3f、sqlmap、safe3 … …

扫描Web站点的信息： *** 作系统类型、 *** 作系统版本、端口、服务器类型、服务器版本、Web站点错误详细信息、Web目录索引、Web站点结构、Web后台管理页面 …

测试sql注入，出现几个sql注入点

测试xss攻击，出现几个xss注入点

手动测试某些网页的输入表单，存在没有进行逻辑判断的表单，例如：输入邮箱的表单，对于非邮箱地址的输入结果，任然会继续处理，而不是提示输入错误，返回继续输入。

针对风险测试后得到的安全测试报告，修复系统存在的脆弱点与缺陷，并且进一步加强服务器的安全能力，可以借助一些安全工具与监控工具的帮助来实现。

对服务器本身存在的脆弱性与缺陷性进行的安全加固措施。

使用非root用户登录 *** 作系统，使用非root用户运行其他服务程序，如：web程序等；

web权限，只有web用户组用户才能 *** 作web应用，web用户组添加当前系统用户；

数据库权限，只有数据库用户组用户才能 *** 作数据库，数据库用户组添加当前系统用户；

根据安全审计、恶意代码检查、后门检测等工具扫描出来的结果，及时更新 *** 作系统，针对暴露的漏洞打上补丁。

对于发现的恶意代码病毒与后门程序等及时删除，恢复系统的完整性、可信行与可用性。

部署在服务器上的Web站点因为程序员编写代码时没有注意大多的安全问题，造成Web服务站点上面有一些容易被利用安全漏洞，修复这些漏洞以避免遭受入侵被破坏。

配置当前服务器隐藏服务器信息，例如配置服务器，隐藏服务器类型、服务器的版本、隐藏服务器管理页面或者限制IP访问服务器管理页面、Web站点错误返回信息提供友好界面、隐藏Web索引页面、隐藏Web站点后台管理或者限制IP访问Web站点后台。

使用Web代码过滤sql注入或者使用代理服务器过滤sql注入，这里更加应该使用Web代码过滤sql注入，因为在页面即将提交给服务器之前过滤sql注入，比sql注入到达代理服务器时过滤，更加高效、节省资源，用户体验更好，处理逻辑更加简单。

在Windows7系统下安装Linux方法，下面以Centos版本的Linux系统安装为例，下面是步骤：1、首先，插入一张CentOS 6.4的安装介质（光盘或者刻录的U盘），使用介质启动电脑出现如下界面。

Install or upgrade an existing system 安装或升级现有的系统

install system with basic video driver 安装过程中采用基本的显卡驱动

Rescue installed system 进入系统修复模式

Boot from local drive 退出安装从硬盘启动

Memory test 内存检测

2、这一步检查系统镜像是否有错误，时间较长，不想等待；直接“skip”就可以了。

3、出现引导界面，点击“next”。

4、选中“English（English）”否则会有部分乱码问题。

5、键盘布局选择“U.S.English”。

6、选择“Basic Storage Devies"点击"Next"。

7、询问是否忽略所有数据，新电脑安装系统选择"Yes,discard any data"。

8、Hostname填写格式“英文名.姓”。

9、网络设置安装图示顺序点击就可以了。

10、时区可以在地图上点击，选择“shanghai”并取消System clock uses UTC前面的对勾。

11、设置root的密码。

12、硬盘分区，一定要按照图示点选。

13、调整分区，必须要有/home这个分区，如果没有这个分区，安装部分软件会出现不能安装的问题。

14、询问是否格式化分区，选择Format格式化即可。

15、将更改写入到硬盘。

16、引导程序安装位置。

17、最重要的一步，也是最关键的一步，按图示顺序点击即可。

18、至此，一个最精简Centos系统的桌面环境就设置完成了，然后系统开始自动安装。

19、安装完成后，重启系统进入登陆界面，输入用户名密码登陆即可。

---