Linux服务器加固方案

    前言：本人在几家小厂做开发，主Java，因人手问题，前端/安卓/服务器等都有涉猎。这里我结合网上各位大佬的经验和自己收获总结。对Linux服务器安全 和 防火墙的配置 和 服务器加固方案 进行简单的讲解，防止初级黑客的攻击，文章主要是针对小白，和运维新手，写的不好，可能有些出入，欢迎各位大佬指点。

        一、适用 Linux 操作系统版本

    1.Red Hat 

    2.centos

        二、Linux操作系统简介

    1.国内外大部分服务器都装了Linux操作系统，各大超算的操作系统，大部分也是用Linux内核重新定制开发的操作系统，因为Linux操作系统相对其他操作系统来说，是比较安全的。

    2.首先因为Linux操作系统是开源免费的，管理员可以根据需求更改源码和设置。任何漏洞都会被大家很快发现，发布漏洞到社区，然后重新打上补丁，这个周期相当短，给黑客作乱的时间很少。

    3.Linux的权限管理比较严格，黑客就算想修改系统文件和日志，必须要管理员密码，重要的文件和日志不会被删除。

    4.大家都有过用windows系统安装软件被捆绑安装一些广告程序的痛苦，一些软件卸载了，过了段时间又自动复活了，Linux的程序管理基本都是利用程序管理软件，比如ubuntu、debian下的软件中心、centos，fedora和红帽的yum，都是从程序开发者官网上或者是相应的发行版社区直接下载安装，不会有被恶意篡改的软件被安装到使用者的电脑上,原理有的类似 Maven。

    三、简单Linux服务器加固方案 (修改配置文件之前请备份！谨记！)

    1.安装Linux系统后会有很多默认的账号和组，黑客扫描服务器这些默认账号默认密码进行测试登陆，从而得到使用权限，需要使用一定不能使用默认密码（从新设置8位以上的密码），如果不使用的话，就删除这些么系统默认不使用的帐号，包括：lp、mail、games、ftp、nobody、postfix等。删除系统默认不使用的组，包括：mail、games、ftp、nobody、postfix等

    2.启动密码策略，修改 /etc/login.defs来实现

    PASS_MAX_DAYS 60  #密码60天过期

    PASS_MIN_DAYS 1   #修改密码最小间隔为1天

    PASS_MIN_LEN 8    #最短密码要求8位

    PASS_WARN_AGE 7   #密码过期前7天内通知用户

    修改密码的命令：   passwd  root 需要输入两次密码,普通用户需要输入一次旧密码，在输入两次确认密码

    3.启用证书登录，或者4A登录，安全性高 (非专业运维不建议使用证书登录和4A登录,设置这个比较麻烦)

证书登录详细操作参考网站：https://www.linuxidc.co