首先是添加一个普通用户登录,禁止root用户登录,更改SSH端口号。
其次修改SSH端口。
然后服务器使用密钥登录,禁止密码登录。
开启防火墙,关闭SE Linux,根据业务需求设置相应的防火墙规则。
安装fai2ban 这种防止SSH暴力击破的软件。
设置只允许公司公网出口IP可以登录服务器,也可以安装VPN等软件,只允许链接XPN到服务器。
修改历史命令记录的条数为10.
只允许有需要的服务器可以访问外网,其它全部禁止。
做好软件层面的防护。
设置nginx_waf模块防止SQL注入
把web服务使用WWW用户启动,更改网站目录的所有和所属组为WWW