1.不要使用默认端口
2.禁止使用protocal version 1
3.限制可登陆用户 centos6上是在/etc/ssh/sshd_config设定AllowUser:
4.设定空闲会话超时时长
5.利用防火墙设置ssh的访问策略
6.仅监听特定的ip
7.基于口令认证时,使用强密码策略
8.使用基于密钥的 认证
9.禁止使用空密码
10做好日志,经常分析
11.登录系统:不使用root登录,通过sudo授权管理,使用普通用户登录。
12禁止SSH远程:更改默认的远程连接SSH服务及禁止root远程连接,限制ssh的访 问频度和并发在线数。
13.时间同步:定时自动更新服务器时间。
14.配置yum更新源,从国内更新下载安装rpm包。
15.关闭selinux及iptables(iptables工作场景如有wan ip,一般要打开,高并发除外)
16.调整文件描述符数量,进程及文件的打开都会消耗文件描述符。
17.定时自动清理/var/spool/clientmquene/目录垃圾文件,防止节点被占满(c6.4默认没有sendmail,因此可以不配。)
18.精简开机启动服务(crond、sshd、network、rsyslog)
19.Linux内核参数优化/etc/sysctl.conf,执行sysct -p生效。
更改字符集,支持中文,但是还是建议使用英文,防止乱码问题出现。
20.锁定关键系统文件(chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab 处理以上内容后,把chatter改名,就更安全了。)
21.清空/etc/issue,去除系统及内核版本登陆前的屏幕显示。