暴露在公网环境下主机的安全防护

前言：服务器安全问题是每个运维从事人员不可避免的一部分工作，在linux管理界乃至计算机界也都是一个首要考虑的问题。最近公司的部分机器需要暴露在公网环境下，如果不做安全策略的话，可能睡到半夜就会被叫起来处理问题，为睡眠安稳计，为工作质量计，特整理下关于基本安全防护的注意点与可操作点：

公司的部分主机需要能够与公网通信，相应的，远程连接安全是肯定需要做加固的，而一台主机基本的安全策略应包括但不限于以下几点：

1.禁止主机被ping：如果能够ping通某个主机或者IP，那么攻击者就认为此系统处于活动状态，继而进行攻击或破坏。如果没有人能ping通机器并收到响应，那么就可以大大增强服务器的安全性，在linux下可以执行如下设置，来禁止ping请求：

[root@localhost ~]#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

可以加上面的一行命令到/etc/rc.d/rc.local文件中，以使每次系统重启后自动运行。

2.禁止系统被重启：在linux的默认设置下，同时按下Control-Alt-Delete键，系统将自动重启，这种情况下很容易被重启，从而导致不可预知的问题，而禁止Control-Alt-Delete组合键重启系统，需修改/etc/inittab文件：

 

[root@localhost ~]#vi /etc/inittab
找到：ca::ctrlaltdel:/sbin/shutdown -t3 -r now    在之前加上"#"或者删除此行，即可，然后
[root@localhost ~]#telinit q

3.限制shell history所记录的命令：默认情况下，bash shell会在文件$HOME/.bash_history中存放多达1000条命令记录，攻击者可以根据这些命令来判断出主机的关键文件以及其他的关键信息，那就减少它所记录的命令或者关闭它：