1,關(guān)于ssh中的配置安全
sudo nano /etc/ssh/sshd_config
關(guān)掉ssh的root和xm11的登錄許可,
#PermitRootLogin yes 改為如下的; PermitRootLogin no 注意,要把前面的#號去掉。
重啟sshd服務(wù)器 sudo /etc/init.d/ssh restart
同時(shí)可以修改ssh的端口。
2,不要安裝ftp服務(wù),盡量少暴漏端口,如果傳輸文件,優(yōu)先考慮用ssh協(xié)議,比如用winSCP傳輸文件,scp命令等。
另外一個(gè)常用的需求是在你管理的服務(wù)器之間拷貝文件.盡管你可以在所有的服務(wù)器上都安裝一個(gè)FTP服務(wù)器,但這并不是一個(gè)理想的安全的解決方案.利用scp命令, SSH擁有拷貝文件的. 利用你已經(jīng)建立的(SSH的)基于key的安全認(rèn)證機(jī)制, 你可以在一個(gè)安全的通道上拷貝文件.
使用下面的命令來將一個(gè)本地文件拷貝到遠(yuǎn)程主機(jī):
scp /path/to/file user@remotehost:/path/to/destination
使用下面的命令來將一個(gè)遠(yuǎn)程主機(jī)文件拷貝到本地:
scp user@remotehost:/path/to/file /path/to/destination
利用-r選項(xiàng),來將一個(gè)本地目錄拷貝到遠(yuǎn)程主機(jī):
scp -r /path/to/directory/ user@remotehost:/path/to/destination/
如果你要傳輸日志文件或其他有較大壓縮比的文件, -C參數(shù)會(huì)很有幫助. 這會(huì)打開壓縮選項(xiàng),雖然在拷貝的時(shí)候會(huì)使用更多的CPU,但是它會(huì)在傳輸?shù)臅r(shí)候增加傳輸速度.
利用-l選項(xiàng)來限制可以使用的帶寬. 把你希望的帶寬放在-l后面, 它以K/s為單位. 例如,以256 Kbps的帶寬來傳輸文件使用下面的命令:
scp -l 256 /path/to/file user@remotehost:/path/to/destination
3, 用VI操作vipw中,限制一些用戶登錄。比如nobody,即使不做這個(gè)也沒事,后面我們用的denyhost可以防止ssh暴力破解。
4,修改mysql的一些配置,刪除掉空的用戶名和空的密碼用戶,修改root的密碼,最好不要再ssh中輸入密碼,在mysql下輸入,防止明碼暴漏。
mysql>use mysql;
mysql>update user set user="wghgreat" where user="root";
mysql>select host,user,password,select_priv,grant_priv from user;
mysql>delete from user where user=;
mysql>delete from user where password=;
mysql>delete from user where host=%;
mysql>drop database test;
mysql>flush privileges;
5,刪除操作歷史記錄
這些歷史文件包括~/.bash_history、~/.mysql_history等。如果打開它們,你會(huì)大吃一驚,怎么居然有一些明文的密碼在這里?!
#cat /dev/null > ~/.bash_history
#cat /dev/null > ~/.mysql_history
6,如果想看系統(tǒng)操作日志,去/var/log/syslog中去查看。
7,ban掉mysql的tcp連接,還在學(xué)習(xí)中,搞懂后會(huì)貼上來。
8,想用客戶端遠(yuǎn)程連接mysql,必須要停掉slave服務(wù)器,修改my.cnf中的內(nèi)網(wǎng)IP地址,修改完畢后還原