1、更新

有很多漏洞，并不是一直都表现出来让你发现，而是有可能突然爆发，由公共漏洞演变成恶意漏洞的示例已经发生过很多次，所以，在软件供应商发布新版补丁时，要尽快(几小时内)修补，放在意外发生。你也可以设置自动更新，由服务器不断检测是否有新版本，如果有的话就自动下载并安装。但是，有可能出现补丁版本和现有软件不兼容导致的服务无法运行的情况，还是需要人员来实时监控服务器状况。

2.访问权限

网站的合理化访问权限是一个关键的措施。它可以防止用户和服务执行中出现意外的操作。这包括从“root”帐户删除到使用SSH登录的所有功能，以禁用用于通常不被访问的默认帐户的shell。例如：PostgreSQL真的需要/ bin / bash吗？可以通过sudo来实现特权行动吗？cron作业是否被锁定，以便只有特定的用户可以访问它们？

3、SSH高强密码

一个非常常见的攻击点是机器人通过SSH暴力帐户。重要的是禁用root帐户的远程登录，因为它是常见的遭到攻击的帐户。这些器是使用字典遍历进行暴力的，你可以使用更改端口号来减少攻击概率，当然，这个端口也可能被扫出来，如果你想更严格的限制登陆，可以设置登陆IP或者登陆计算机名称来进行添加白名单，除外的计算机将不能登陆服务器管理。

4、文件系统权限

有人在网络应用程序的某些PHP脚本中发现远程代码执行漏洞。该脚本由www数据用户提供。因此，黑客注入的任何代码也将由www-data执行。如果他们决定为后台建立文件，那么简单的办法就是用恶意代码编写另一个PHP文件，放在网站的根目录下。如果www数据没有写入权限，这可能永远不会发生。通过限制每个用户和服务可以做什么（权限原则），您可以限制来自受损帐户（深度防御）的潜在损害。

文件系统权限需要细化。考虑一些例子：

www-user是否需要在webroot中写入文件？

您是否使用单独的用户从git存储库中提取文件？（我们强烈建议您不要从github结帐中运行您的网站。）

www-user是否需要在webroot中列出文件？

我们建议您定期检查您的文件系统权限。

5.服务器监控

任何异常的服务器活动都可能表示违规。例如：

错误日志条目中的峰值可能是攻击者试图将系统弄虚作假的结果。

网络流量的突然增长不断增加可能是持续的DDoS（分布式拒绝服务）攻击的结果。

CPU使用率或磁盘IO的增加可能表示数据的渗透。例如Logica被黑客入侵的时候，影响到瑞典和丹麦的税务机关。

深圳市葵芳信息服务有限公司

联系方式李生