Linux服務(wù)器的安全設(shè)置，首先從iptablesip可以設(shè)置特定安全規(guī)則，搞個(gè)默認(rèn)禁止，只允許域內(nèi)已知主機(jī)訪問特定幾個(gè)必須端口如：80 53 443 25這幾個(gè)即可。關(guān)閉服務(wù)器sshagent轉(zhuǎn)發(fā)功能，卸載不必要的服務(wù)。禁用root賬戶遠(yuǎn)程訪問的功能，限制ftp用戶，禁用telnet等不安全連接，ssh要使用v2以上版本，配置上登錄密碼設(shè)置最大嘗試次數(shù)、口令長度字符構(gòu)成。ssh登錄的加密算法設(shè)置ASE128位，sha256以上的安全加密算法。禁止icmp重定向，限制su命令用戶組。類似的東西太多了，開源操作系統(tǒng)還是給我們提供很多安全防護(hù)手段的，大家可以一點(diǎn)點(diǎn)百度慢慢了解。以上只是操作系統(tǒng)的安全防護(hù)，web安全就是另一套東西了，一定程度上取決于你的app是否足夠安全。對(duì)于小企業(yè)官網(wǎng)來說，黑客一般不會(huì)去主動(dòng)黑你，但也不乏有些人通過掃描的方式，入侵你的服務(wù)器作為肉雞或者在你的服務(wù)器上植入挖礦程序，導(dǎo)致你CPU跑滿，無法正常運(yùn)行網(wǎng)站，針對(duì)這些問你題，該如何做好防護(hù)呢？在阿里云上做好安全防護(hù)相對(duì)于在自建機(jī)房更加便捷，建議遵循以下幾點(diǎn)：

1、安全組：采用最小授權(quán)原則，例如網(wǎng)站可以考慮只開80、443以及遠(yuǎn)程連接端口，避免第三方掃描程序通過其他端口入侵服務(wù)器；

2、漏洞修復(fù)：這里面包含兩塊，第一塊是操作系統(tǒng)漏洞，這個(gè)一般控制臺(tái)都會(huì)有提示，根據(jù)提示修復(fù)或者自己手動(dòng)修復(fù)即可；第二塊是程序漏洞，這塊我們在選擇程序模板時(shí)盡量選擇目前有人進(jìn)行更新維護(hù)的模板；不過話說回來，現(xiàn)在市面上的CMS模板漏洞都很多。3、密碼策略：密碼盡可能復(fù)雜化，并且建議定期修改，避免因密碼泄露導(dǎo)致被別人刪庫；4、備份：一般的小企業(yè)站點(diǎn)，做好快照備份就可以了，阿里云的快照還是很方便的。

至于其他的安全管控，web防護(hù)等，對(duì)于小企業(yè)站點(diǎn)來說，投入太大也沒必要，除非該企業(yè)的官網(wǎng)需要過等保測評(píng)，那就另當(dāng)別論。

首先是服務(wù)器的用戶管理，很多的攻擊和破解，首先是針對(duì)于系統(tǒng)的遠(yuǎn)程登錄，畢竟拿到登錄用戶之后就能進(jìn)入系統(tǒng)進(jìn)行操作，這個(gè)權(quán)限還是很高的。所以對(duì)于Linux系統(tǒng)，首先要做的就是禁止root超級(jí)用戶的遠(yuǎn)程登錄，然后專門創(chuàng)建一個(gè)普通用戶給予sudo操作權(quán)限進(jìn)行遠(yuǎn)程登錄使用。然后再把ssh的默認(rèn)端口改為其他不常用的端口。你可能不知道我們的服務(wù)器其實(shí)每天都在被很多的掃描工具在掃描著，尤其是對(duì)于Linux服務(wù)器的ssh默認(rèn)22端口，掃描工具掃描出22端口之后就可能會(huì)嘗試破解和登錄。把ssh的默認(rèn)端口修改后可以減少被掃描和暴力登錄的概率。此外你還可以使用fail2ban等程序防止ssh被暴力破解，其原理是嘗試多少次登錄失敗之后就把那個(gè)IP給禁止登錄了。

SSH改成使用密鑰登錄，這樣子就不必?fù)?dān)心暴力破解了，因?yàn)閷?duì)方不可能有你的密鑰，比密碼登錄安全多了。服務(wù)器安全還跟你服務(wù)器上運(yùn)行的程序有關(guān)，尤其是你運(yùn)行的網(wǎng)站程序。網(wǎng)上也有很多的爬蟲機(jī)器人每天在掃描著各式各樣的網(wǎng)站，嘗試找系統(tǒng)漏洞。即使你前面把服務(wù)器用戶權(quán)限管理、登錄防護(hù)都做得很好了，然而還是有可能在網(wǎng)站程序上被破解入侵，畢竟你的網(wǎng)站程序運(yùn)行在你的服務(wù)器上，也具有操作服務(wù)器的諸多權(quán)限。所以一定要定期檢查和升級(jí)你的網(wǎng)站程序以及相關(guān)組件，及時(shí)修復(fù)那些重大的已知漏洞。另外你說需要在服務(wù)器上運(yùn)行多個(gè)網(wǎng)站系統(tǒng)(博客+企業(yè)官網(wǎng))。我推薦使用docker容器的方式隔離運(yùn)行環(huán)境，將每個(gè)程序運(yùn)行在一個(gè)單獨(dú)的容器里，這樣即使服務(wù)器上其中的一個(gè)網(wǎng)站程序被破解入侵了，也會(huì)被限制在被入侵的容器內(nèi)，不會(huì)影響到其他的容器，也不會(huì)影響到系統(tǒng)本身。