1、在尽可能的情况下禁用root远程登录,用普通账户远程登录,然后再切换root进行日常操作。
2、root和其他用户的密码要复杂。
3、修改ssh默认的22端口;
4、使用iptables进行策略控制;
5、关闭没必要的服务,这里涉及到命令chkconfig的使用方法;
chkconfig --list 列出linux从0到6几个开机模式的各个服务的开机启动或者关闭
chkconfig --add XXX 添加启动项
chkconfig --del XXX 删除启动项
chkconfig --level 35 XXX on/off 指定在第三和第五启动模式中开启或关闭XXX服务
6、修改应用程序默认端口:例如mysql:3306
7、检查/etc/rc.local 有没有异常的启动
8、检查crontab有没有异常的启动
除了以上,就得需要命令来查找木马所在地方。
ps -ef 查看可疑进程
netstat -an 查看可疑的端口
top 查看可疑进程利用cpu或者内存的利用率
强调linux系统中是不可能有.exe或者.bat的文件的,如果有一般都是病毒,别人给你传上去的。
总结,黑客攻击电脑一般首先都是扫描常用服务的端口,如3389、1433、25、等,如果你修改掉就加强了;然后用户账户、密码一定要复杂,而不能是通用的复杂;再就是软件、网站程序之类的漏洞,例如jsp、asp、php 后门之类的漏洞;目录权限;重点要说,笔者强烈建议不要安装多家厂商的杀毒软件,这样对机器性能不好,杀毒软件好使就行;检查好后系统一定要重启检查是否还存在漏洞。当然重装是最简单的、最好、最安全的办法,但还是建议重装前看看服务器大概出的是什么问题,找找原因。要不然后续问题可能会不断重复。
本文转自 linuxzkq 51CTO博客,原文链接:http://blog.51cto.com/linuxzkq/1583908
