如何做好Linux服务器安全维护

一、强化密码强度

凡是涉及到登录，就需要用到密码，如果密码设定不恰当，很容易被黑客破解，如果是超级管理员用户，如果没有设立良好的密码机制，可能给系统造成无法挽回的成果。

很多用户喜欢用自己的生日、姓名、英文名等信息来设定，这些方式可以通过字典或社会工程的手段去破解，因此建议用户在设定密码时，尽量使用非字典中出现的组合字符，且采用数字与字符、大小写相结合的密码，增加密码被破译的难度。

二、登录用户管理

进入Linux系统前，都是需要登录的，只有通过系统验证后，才能进入Linux *** 作系统，而Linux一般将密码加密后，存放在/etc/passwd文件中，那么所有用户都可以读取此文件，虽然其中保存的密码已加密，但安全系数仍不高，因此可以设定影子文件/etc/shadow，只允许有特殊权限的用户 *** 作。

三、账户安全等级管理

在Linux *** 作系统上，每个账户可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应根据需要赋予该账号不同的权限，且归并到不同的用户组中。每个账号ID应有专人负责，在企业中，如果负责某个ID的员工离职，该立即从系统中删除该账号。

四、谨慎使用r系列远程程序管理

在Linux系统中，有一系列r开头的公用程序，如rlogin、rcp等，非常容易被不法分子用来攻击我们的系统，因此千万不要将root账号开放给这些公用程序，现如今很多安全工具都是针对此漏洞而设计的，比如PAM工具，就可以将其有效地禁止掉。

五、root用户权限管理

root可谓是Linux重点保护对象，因为其权利是最高的，因此千万不要将它授权出去，但有些程序的安装、维护必须要求是超级用户权限，在此情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。

六、综合防御管理

防火墙、IDS等防护技术已成功应用到网络安全的各个领域，且都有非常成熟的产品，需要注意的是：在大多数情况下，需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口来过滤网络流量，而IDS更加具体，它需要通过具体的数据包来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。

七、保持更新，补丁管理

Linux作为一种优秀的开源软件，其稳定性、安全性和可用性有极为可靠的保证，世界上的Linux高手共同维护着个优秀的产品，因而起流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。

FTP是一种文件传输协议。有时我们把他形象的叫做文件交流集中地。FTP文件服务器的主要用途就是提供文件存储的空间，让用户可以上传或者下载所需要的文件。在企业中，往往会给客户提供一个特定的FTP空间，以方便跟可以进行一些大型文件的交流，如大到几百兆的设计图纸等等。同时，FTP还可以作为企业文件的备份服务器，如把数据库等关键应用在FTP服务器上实现异地备份等等。
可见，FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大，所以，很多黑客、病毒也开始关注他了。他们企图通过FTP服务器为跳板，作为他们传播木马、病毒的源头。同时，由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下，FTP服务器也就成为了别人攻击的对象。
在考虑FTP服务器安全性工作的时候，第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中，默认提供了三类用户。不同的用户对应着不同的权限与 *** 作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候，其默认的主目录就是其帐号命名的目录。但是，其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中，我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是，这个账户有个特点，就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户，在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户，只能够访问其主目录下的目录，而不得访问主目录以外的文件。
在组建FTP服务器的时候，我们就需要根据用户的类型，对用户进行归类。默认情况下，Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是，这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录，而且，还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以，企业要根据实际情况，修改用户虽在的类别。
修改方法：第一步：修改/etc/Vsftpd/vsftpdconf文件。
默认情况下，只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候，就需要把这个选项启用。修改/etc/Vsftpd/vsftpdconf文件，把其中的chroot_list_enable=YES这项前面的注释符号去掉。去掉之后，系统就会自动启用Real类型的帐户。
第二步：修改/etc/vsftpdconf文件。
若要把某个FTP服务器的帐户归属为Guest帐户，则就需要在这个文件中添加用户。通常情况下，FTP服务器上没有这个文件，需要用户手工的创建。利用VI命令创建这个文件之后，就可以把已经建立的FTP帐户加入到这个文件中。如此的话，某个帐户就属于Real类型的用户了。他们登录到FTP服务器后，只能够访问自己的主目录，而不能够更改主目录。
第三步：重新启动FTP服务器。
按照上述步骤配置完成后，需要重新启动FTP服务器，其配置才能够生效。我们可以重新启动服务器，也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候，笔者有几个善意的提醒。
一是尽量采用Guest类型的用户，而减少Real类行的用户。一般我们在建立FTP帐户的时候，用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时，会对其他用户文件的安全产生威胁。
在以下几种情况下，我们要禁止这些账户访问FTP服务器，以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户，其对系统具有最高的 *** 作与管理权限。若允许用户以这个账户为账户名进行登陆的话，则用户不但可以访问Linux系统的所有资源，而且，还好可以进行系统配置。这对于FTP服务器来说，显然危害很大。所以，往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要，为开一些临时账户。如需要跟某个客户进行图纸上的交流，而图纸本身又比较大时，FTP服务器就是一个很好的图纸中转工具。在这种情况下，就需要为客户设立一个临时账户。这些账户用完之后，一般就加入到了黑名单。等到下次需要再次用到的时候，再启用他。
在vstftpd服务器中，要把某些用户加入到黑名单，也非常的简单。在Vsftpd软件中，有一个/etc/vsftpduser_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件，通常情况下，一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后，往往不需要重新启动FTP服务，配置就会生效。
不过，一般情况下，不会影响当前会话。也就是说，管理员在管理FTP服务器的时候，发现有一个非法账户登陆到了FTP服务器。此时，管理员马上把这个账户拉入黑名单。但是，因为这个账户已经连接到FTP服务器上，所以，其当前的会话不会受到影响。当其退出当前会话，下次再进行连接的时候，就不允许其登陆FTP服务器了。所以，若要及时的把该账户禁用掉的话，就需要在设置好黑名单后，手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时，管理员不需要把他加入黑名单，而是直接删除用户为好。同时，在删除用户的时候，要记得把用户对应的主目录也一并删除。不然主目录越来越多，会增加管理员管理的工作量。在黑名单中，只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量，而且，还可以提高FTP服务器的安全性。
在系统默认配置下，匿名类型的用户只可以下载文件，而不能够上传文件。虽然这不是我们推荐的配置，但是，有时候出于一些特殊的需要，确实要开启这个功能。如笔者以前在企业中，利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便，就在FTP服务器上开启了匿名访问，并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
笔者再次重申一遍，一般情况下，是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中，不含有一些破坏性的程序，如病毒或者木马等等。有时候，虽然开启了这个功能，但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件，其他账户则不行。如此的话，可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户，就可以在外网中登陆到FTP服务器上。
总之，在FTP服务器安全管理上，主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件；二是用户不得访问未经授权的目录，以及对这些目录的文件进行更改，包括删除与上传；三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容，都可以通过上面的三个方法有效的解决。

以我的个人经验：如果你是自己建网站，购买云服务器之后需要配置服务器环境，让它能够运行你的网站程序，可以安装云帮手软件即可满足环境需求，如果你是外包给第三方公司，只需要把服务器帐号密码和IP地址给他们，他们会帮你配置好的。网站的管理维护一般不需要进入服务器，只需要在网站管理后台即可 *** 作，服务器需要做好自动备份策略，当受到黑客攻击或植入病毒木马时，你可以随时恢复到正常时间点。

锐讯网络总结了7个点1、做好服务器的初始安全防护，2、修改服务器远程端口。3、设置复杂密码。4、修补已知的漏洞5、多服务器保护。6、防火墙技术。7、定时为数据进行备份。

---