如何做到服务器的安全加固？

对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本：

• 确保服务器的系统文件是最新的版本，并及时更新系统补丁。

• 对所有服务器主机进行检查，清楚访问者的来源。

• 过滤不必要的服务和端口。例如，对于WWW 服务器，只开放80 端口，将其他所有端口关闭，或在防火墙上设置阻止策略。限制同时打开的SYN 半连接数目，缩短SYN 半连接的timeout 时间，限制SYN、ICMP 流量。

• 仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更，则说明服务器可能遭到了攻击。

• 限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能将会陷入瘫痪。

• 充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN 阈值、禁用ICMP 和UDP广播的策略配置。

• 通过iptable 之类的软件防火墙限制疑似恶意IP 的TCP 新建连接，限制疑似恶意IP 的连接、传输速率。

以上内容摘自《云上安全产品实战手册》电子书，点击https://developer.aliyun.com/topic/download?id=1082可下载完整版