Linux系统安全优化系列必备技能有什么？

　　1 站点目录权限 /app/blog

f644 d755  root root 
上传         /app/blog/uploads 
f644 d755  www  www

　　2 上传之后无法运行

挂载参数 nodev nosuid noexec

　　3 只让网站上传指定类型的文件。

如果扩展名不是.zip或.jpg 提示403
如果扩展名是.zip或.jpg 提示403
location       #匹配请求里面的uri 
location / 
location = / 
location ~ /   
location ~* /  #不区分大小写正则

location  /uploads  {
    if ( $request_uri !~ \.(zip|jpg)$  ) {
     return 403;    
    }
}

　　4 检查出网站文件被修改了

每次代码更新 创建一个 md5sum     sha128sum  sha2 sha512sum 
每5分钟 进行对比 发送报警

find /code/wordpress/   -type f |grep -v '/wp-content/uploads' |xargs md5sum

注意：要排除站点目录里面的缓存文件和上传目录

　　5 rpm -aV 与软件安装的时候 （yum rpm ）

　　系统的命令和配置文件是否变了(yum 和rpm安装的软件)

　　6 clamav

 clamav* (epel)
 clamscan -ri  /oldboy/wordpress

　　7 waf 防火墙 应用防火墙

　　https://blog.oldboyedu.com/nginx-waf/

　　网站安全解答战略

　　去企业面试时是有多位竞争者的，因此要注意答题的维度和高度，一定要直接秒杀竞争者，搞定高薪offer。

　　（一）解答战术

　　因为Linux下的木马常常是恶意者通过Web的上传目录的方式来上传木马到Linux服务器的，可根据从恶意者访问网站开始-->Linux系统-->HTTP服务-->中间件服务-->程序代码-->DB-->存储，层层设卡防护。

　　（二）从用户访问角度解答参考

　　开发程序代码对上传文件类型做限制，例如不能上传。php程序（JS及后端代码控制）。

　　对上传的内容（包括文本和文件）检测，检测方式可通过程序、Web服务层（中间件层）、数据库等层面控制。

　　控制上传目录的权限以及非站点目录的权限（Linux文件目录权限+Web服务层控制）。

　　传上木马文件后的访问和执行控制（Web服务层+文件系统存储层）。

　　对重要配置文件、命令和WEB配置等文件做md5指纹及备份。

　　安装杀毒软件clamav等，定期监测查杀木马。

　　配置服务器防火墙及入侵检测服务。

　　监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。

　　（三）从内部管理人员角度：防止被提权

　　管理服务器或Web化管理服务器。

　　ssh监听内网。

　　采用跳板机、操作审计。

　　sudo集权管理、锁定关键文件。

　　站点目录、上传目录权限属组控制。

　　做系统及站点文件备份指纹监控报警。

　　动态口令认证。

　　更多Linux技术知识，推荐关注老男孩Linux培训课程。老男孩教育Linux培训班，从0基础到云计算架构，是一系列的实践课程。在Linux基础、云计算运维、Docker容器、集群与存储、数据库管理、安全技术、自动化运维、Python开发等方面的教学，帮助学生高效学习Linux技术，奠定坚实的理论基础和优秀的实践能力。帮助更多的Linux爱好者成为更好的Linux运维工程师。