哪些方法可以加固计算机的安全防护

这个还真不是三言两语说的清楚，而且计算机的安全防护并不是只完成单台的计算机即可的，涉及整个信息系统的架构与设计等。但可以给个大的框架：
1、物理上，保证设备独立性与不可接触，如放在有安全防护的机房并严格管理人员出入与设备接触，以及机房的防火、防水、防盗、电压安全等设计；
2、 *** 作系统层次安全，包括 *** 作系统安全加固（服务器软件的配置的安全性因素、服务器的软件防火墙配置因素、补丁因素、计算机软件级别访问控制因素、密码强度与密码更新频率等）、 *** 作系统版本（新的 *** 作系统相对来说功能性与安全性均会有所提升，BETE版另说）。基于全网的域结构方式可以在全网的基础上进行严格控制与管理，并保证整个信息系统的统一安全策略的实施，可以进一步加因计算机的安全防护。另外，清晰规范的计算机管理制度与责任追究制度也是计算机安全防护的有力保证，有句话叫做三分技术，七分管理，就是这个意思。从窄义的计算机安全防护加固角度看（估计也是你的需求），看到这里就可以了，下面的是从广义的计算机安全防护上去阐述的，你可以参考一下。
3、网络层次安全，包括内网安全与外网安全，一般建议内久外网隔离以保证内网业务系统安全性，其他的如网络硬件与逻辑（VLAN，访问控制）隔离、网络访问控制列表、网络准入、网络审计等需要相应的网络软硬件支撑才可完善，如网络准入系统，交换机的软件支持等。
4、边界安全，保证外界与内网连通性的同时保证安全性，建议有个安全设备部署在边界，最基础的是防火墙设备，高级一些的有IPS、IDS（主要用于审计）、防病毒网关等。

关于IIS服务器的安全主要包括六步：
1、使用安全配置向导（Security Configuration Wizard）来决定web服务器所需的最小功能，然后禁止其他不需要的功能。具体地说，它能帮你
1》禁止不需要的服务
2》堵住不用的端口
3》至于打开的端口，对可以访问的地址和其他安全做进一步的限制
4》如果可行，禁止不需要的IIS的web扩展
5》减小对SMB，LAN Manager，和LDAP协议的显露
6》定义一个高信噪比的对策
2、把网站文件放在一个非系统分区（partition）上，防止directory traversal的缺陷，对内容进行NTFS权限稽查（Audit）。
3、对自己的系统定期做安全扫描和稽查，在别人发现问题前尽早先发现自己的薄弱处。
4、定期做日志分析，寻找多次失败的登陆尝试，反复出现的404，401，403错误，不是针对你的网站的请求记录等。
5、如果使用IIS 6的话，使用Host Headers ，URL扫描，实现自动网站内容和IIS Metabase的Replication，对IUSR_servername帐号户使用标准的名称等。
6、总的web架构的设计思路：别把你的外网web服务器放在内网的活动目录（Active Directory）里，别用活动目录帐号运行IIS匿名认证，考虑实时监测，认真设置应用池设置，争取对任何活动做日志记录，禁止在服务器上使用Internet Explorer等。

直接申请并安装SSL证书就行了。
SSL安全证书简单讲>Bastille加固软件可以“牢牢锁定” *** 作系统，积极主动地配置系统，以提高安全性，并且降低容易出现中招和停运的几率。Bastille还能评估系统的当前加固状态，精细化地报告它所处理的每一个安全设置。目前它支持红帽(Fedora、Enterprise和Numbered/Classic)、SUSE、Ubuntu、Debian、Gentoo、Mandrake、Mac OS X和HP-UX等 *** 作系统。
Bastille致力于让系统的用户/管理员可以选择到底如何加固 *** 作系统。在其默认的加固模式下，它以互动方式向用户提出问题，解释那些问题的主题，并且根据用户的回答来制定策略。然后，它将该策略运用到系统。在评估模式下，它建立一份报告，旨在教用户注意可用的安全设置，并且告知用户哪些设置已经加强。
将Bastille安装到Ubuntu/Debian上
使用下列命令，在Ubuntu/Debian及其衍生版上安装Bastille：
sk@sk:~$ sudo apt-get install bastille perl-tk
启动Basetille
执行下列命令，开始使用Bastille：
sk@sk:~$ sudo bastille
首先，它会显示License Agreement(许可证协议)。输入accept表示同意：

查看 /etc/passwd 文件查看是否有无用的账号，如果存在则删除，降低安全风险。

*** 作步骤：

*** 作步骤：

*** 作步骤

*** 作步骤

使用命令 vim /etc/pamd/su 修改配置文件，在配置文件中添加行。
例如，只允许admin组用户su到root，则添加 auth required pam_wheelso group=admin 。

可选为了方便 *** 作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

为了防止使用"su"命令将当前用户环境变量带入其它用户，修改/etc/logindefs添加ALWAYS_SET_PATH=yes并保存。

*** 作步骤

*** 作步骤：

查看所有服务列表 systemctl list-units --type=service

*** 作步骤

使用命令 vim /etc/ssh/sshd_config 编辑配置文件。

配置文件修改完成后，重启sshd服务生效（systemctl restart sshd）。

*** 作步骤

修改/etc/profile 配置文件，添加行 umask 027 ， 即新创建的文件属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。

*** 作步骤

修改 /etc/profile 配置文件，设置为 TMOUT=600， 表示超时10分钟无 *** 作自动退出登录。

*** 作步骤

Linux系统默认启用以下类型日志，配置文件为 /etc/rsyslogconf：

通过上述步骤，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有 *** 作（root用户除外）

服务器安全加固 - Linux - wubolive - 博客园

---