没有防火墙的IDC数据中心的Linux服务器必备3大基础安全措施

现在很多生产服务器都是放置在IDC机房的，有的并没有专业的硬件防火墙保护，那么我们应该如何做好基础的安全措施呢？个人觉得应该从如下几个方面着手。

1）首先，必须确保Linux服务器的密码绝对安全。我通常将root密码设置为28位以上，并且在一些重要服务器上只有少数人知道root密码。这将根据公司管理层的权限进行设置。如果系统管理员级别的人员离开，则必须更改root密码。现在，我们的方法通常是禁止root远程登录，仅分配具有sudo权限的用户。服务器的帐户管理必须严格。
除了服务器上的root帐户外，系统用户越少越好。如果必须将用户添加为应用程序执行者，请将其登录外壳设置为nologin，即该用户无权登录服务器。终止未经授权的用户并定期检查系统是否有冗余用户是所有必要的工作。另外，还应严格控制vsftpd，Samba和MySQL的帐户，以尽可能满足他们的基本工作要求，而MySQL等帐户则不向任何用户提供授予权限。对于公司运营人员提出的查询报告功能，可以在跳板上打开SSH隧道，以达到访问后端MySQL数据库的目的。如果公司有条件，可以与前端人员合作以提供相关的接口功能，以最大程度地减少非操作和维护人员登录Linux服务器的可能性。

2）防止SSH暴力破解是一个普遍的问题。解决此问题的方法有很多：有的朋友喜欢用iptables的recent模块来限制单位时间内SSH的连接数，有的则用DenyHost防SSH暴力破解工具，尽可能地采用部署服务器密钥登录的方式，这样就算是对外开放SSH端口，暴力破解也完全没有用武之地。

3）分析系统的日志文件，寻找入侵者试图入侵系统的线索。最后一个命令是另一个工具，可用于查找未经授权的用户的登录事件。在最后一个命令中输入的信息来自/ var / log / wtmp。该文件详细记录了各种系统用户的访问活动。但是，有经验的入侵者通常会删除/ var / log / wtmp来清除其非法行为的证据，但是这种删除仍会显示出一些线索：在日志文件里留下一个没有退出的操作和与之对应的登录操作（虽然在删除wtmp的时候登录记录已经没有了，但是待其退出的时候，系统还是会把它记录下来），不过高明的入侵者会用at或crontab等自己退出之后再删除文件。