1、账号和口令

【1】为系统管理员建立普通权限的账号，为监控机建立监控账号，分别用于日常系统维护和系统监控；

【2】禁止不必要登陆的账号使用shell权限，专为应用程序创建的用户不需要登陆，可使用

useradd mysql –M –s /sbin/nologin

【3】强制使用高强度密码，包含字母（大写字母和小写字母），数字和特殊符号;

Tips 输入文该怎样设置一个不容易被破解又好记忆的密码呢？请参考绿盟科技博客中设置口令的一些小技巧

（http://blog.nsfocus.net/set-password-tips/）

【4】设置密码修改频率，一般三个月修改一次。

2、远程登陆

【1】禁止使用root账号直接登陆，只允许使用普通账号登陆；

【2】更改默认端口；

【3】禁止直接使用口令的方式验证，采用密钥登陆；以上方法可以通过修改sshd的配置文件（/etc/ssh/sshd_config）完成操作。

3、开启防火墙

Iptables防火墙是linux系统中强大的工具，可以添加和去除规则来过滤访问，这里简单介绍几个常用的命令。

【1】iptables -A INPUT -p tcp --dport 80 -j ACCEPT

增加一条规则到INPUT规则链中，允许所有目的端口为80的数据包流入

【2】iptables -D INPUT -p tcp --dport 80 -j ACCEPT

删除一条规则

【3】service iptables save

保存规则

4、使用sudo提升执行权限

上面提到给系统管理员建立普通用户的权限，那么需要使用root权限时怎么办呢？sudo命令解决了这个问题。sudo命令能够让普通用户以root的身份执行命令，只需要预先在/etc/sudoers配置文件中配置授权，而该用户不需知道root用户的密码，但是需要先输入自己的密码。

系统为此功能提供visudo命令进行编辑，使用该命令可以进行有限的语法检查，visudo不会保存带有语法错误的配置文件，它会提示你出现的问题，编辑时遵循

foobar ALL=(ALL) ALL

格式即可。