Linux 如何防止被挂木马

linux 系统如何防止被×××挂×××程序，可以从多个角度进行思考，×××怎么会到linux服务器上，肯定是有入口被上传过去的，因此我们要从入口切断，我们要在web站点通过程序代码设置关卡，让可执行程序禁止上传。如果×××被上传成功了，但是×××怎么可以执行它的功能呢？？

Linux 如何防止被挂木马

1. ×××程序思考，如何上服务器，如何执行。

1.1 linux 系统如何防止被×××挂×××程序，可以从多个角度进行思考，×××怎么会到linux服务器上，肯定是有入口被上传过去的，因此我们要从入口切断，我们要在web站点通过程序代码设置关卡，让可执行程序禁止上传。如果×××被上传成功了，但是×××怎么可以执行它的功能呢，因为通过上传入口上传的文件统一在一个目录里，因此我们可以把该目录挂载参数设置为-exec参数，让×××无法执行。
1.2 要有必要的防御措施，×××如果能执行了，它会做一些什么操作，悄悄提权，改配置文件，改重要应用配置文件，盗取资料。我们平时要有机制对重要的系统配置文件，应用配置文件的监控及备份，和比对，如果有操作更改要记录要更新，对异常更改要警惕，更改了什么东西，会造成什么后果。

2. 预防操作步骤如下：

2.1 从用户访问网站的角度操作

2.1.1 开发程序代码对上传文件类型做限制，例如不能上传.php程序（JS及后端代码控制）。
2.1.2 对上传的内容（包括文本和文件）检测，检测方式可通过程序、Web服务层（中间件层）、数据库等层面控制。
2.1.3 控制上传目录的权限以及非站点目录的权限（Linux文件目录权限+Web服务层控制。
2.1.4 传上传×××文件后的访问和执行控制（Web服务层+文件系统存储层。
2.1.5 对重要配置文件、命令和WEB配置等文件做md5指纹及备份。
2.1.6 安装杀毒软件clamav等，定期监测查杀×××程序。
2.1.7 配置服务器防火墙。
2.1.8 监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。

2.2 从内部管理人员角度：防止被提权

2.2.1 Web化管理服务器。 2.2.2 ssh监听内网。 2.2.3 采用跳板机、操作审计。 2.2.4 sudo集权管理、锁定关键文件。 2.2.5 站点目录、上传目录权限属组控制。 2.2.6 做系统及站点文件备份指纹监控报警。 2.2.7 动态口令认证。