服务器装好后，你一般做哪些安全上的优化？

Grsecurity Grsecurity Grsecurity
重要的事情说三遍

给服务器安装 360 安全卫士、 360 杀毒软件、金山卫士、金山毒霸、瑞星、百度卫士、百度杀毒卫士。

OS Hardening To Better Secure Linux Server
http://www.dennyzhang.com/linux_security/

Note: 楼主自己整理和总结的一篇分享。

@qyz0123321 我一般是关 selinux 。求教：在你们使用过程中， selinux 在哪些地方真实帮到你们了？

@VmuTargh 赞，久闻 Grsecurity 大名。期待它早日入 mainstream.

@jimzhong 赞。果然很贱

@xuboying 这个是怎么实现？

@xihefeng google authen ...

@VmuTargh 高到哪里去都不知道了

不做任何优化， 给程序打打补丁。

@dennyzhang 最近 kernel 那边打鸡血一样， Linux-next 像 duang 一样多了好多安全特性……没办法，全都是被倒逼的……
另外 SELinux 可以用用但是不要迷信，毕竟 userspace 加固这玩意又不如 openbsd （逃

第一件事是禁止 root 用户使用密码远程登录

默认 22 端口真的不能用，睡一觉几百个 login fail ，改端口就好了

@dennyzhang 有用。。

装好系统后跟着网上教程的，关掉 iptables ，关掉 selinux

@shshilmh port knocking 很实用，比单纯 IP 白名单更加适合于多种复杂环境。

@jimzhong
是这样吗?

一分钟尝试两次：

```
iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_Brute --rcheck --seconds 60 --hitcount 2 -j DROP
iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_Brute --set -j ACCEPT
```

好像不如这样写好，三次错误禁一小时：

```
iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_Brute --update --seconds 3600 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport 22 -m recent --name SSH_Brute --set -j ACCPET
```

@prondtoo 这贴里很多人推荐 iptables ，你还要关掉。。。关掉用啥？

@zpvip
端口被攻击的时候自己会不会也登不上？