以下是每個運維管理員應采取的必要步驟：

　　1.禁用Firewire和Thunderbolt模塊。

　　2.檢查防火墻，確保所有入口已過濾。

　　3.確保將root郵件轉發到您驗證的帳戶。

　　4.設置操作系統自動更新時間表，或更新提醒內容。

　　此外，還應考慮進一步加固系統的最佳步驟之一：

　　1.檢查確保SSHD服務在默認情況下被禁用。

　　2.在閑置一段時間后自動鎖定屏幕保護程序。

　　3.安裝logwatch。

　　4.安裝和使用rkhunter。

　　5.安裝入侵檢測系統。

　　一、將相關模塊列入黑名單。

　　想把Firewire和Thunderbolt模塊列入黑名單，在/etc/modprobe.d/blacklist-dma.conf中添加以下幾行文件:

　　blacklistfire-core。

　　blacklisthunderbolt。

　　一旦系統重啟，上述模塊將被列入黑名單。即使你沒有這些端口，這樣做也沒有害處。

　　二.root郵件。

　　默認情況下，root郵件完全保存在系統中，永遠不會讀取。確保您設置/etc/aliases，將root郵件轉發到您實際讀取的郵箱，否則您可能會錯過重要的系統通知和報告：

　　#Personwhosholdgetrotsmail。

　　bob@#

　　編輯后，運行newaliases進行測試，以確保電子郵件確實已經發送，因為一些電子郵件提供商拒絕從根本不存在的域名或無法通過的域名發送電子郵件。如果是這樣，您需要調整電子郵件轉發配置，直到它真的可行。

　　三、防火墻.sshd及偵聽守護過程。

　　默認的防火墻設置將依賴于您的發行版本，但許多允許進入sshd端口。除非你有足夠和合法的理由允許進入ssh，否則你應該過濾掉這個過程，并禁止sshd保護過程。

　　systemctldisableshd.service。

　　systemctlstopshd.service。

　　若需使用，可暫時啟動。

　　一般來說，除了響應ping，你的系統應該沒有偵聽端口。這將有助于你防止網絡層面的零日漏洞。

　　四、自動更新或通知。

　　建議打開自動更新，除非你有足夠的理由不這樣做，比如擔心自動更新會導致你的系統無法使用(這以前發生過，所以這種擔心并非毫無根據)。至少，您應該使用自動通知可用更新機制。大多數發行版本都允許這項服務自動為您運行，因此您可能不需要進行任何操作。查閱發行版本的描述文檔，了解更多信息。

　　五、查看日志。

　　你應該密切關注系統中發生的所有活動。因此，應安裝logwatch并配置logwatch，以便每晚發送活動報告，以顯示系統中發生的所有活動。這并不能阻止全身心投入的攻擊者，但它是一個很好的安全網功能，需要部署。

　　請注意：許多systemd發行版本不再自動安裝logwatch所需的syslog服務器(這是因為systemd依賴于自己的日志)，因此您需要安裝和使用rsyslog，以確保/var/log在logwatch有任何用途之前不是空的。

　　六、rkhunter和IDS。

　　除非你有效地理解工作原理，并采取必要的步驟進行合理的設置(如將數據庫放在外部介質上，從可靠的環境運行檢查、執行系統更新和配置住更新哈希數據庫等)，否則安裝入侵檢測系統(IDS)，如rkhunter和aide或tripwire不是很有用。如果你不想采取這些步驟。調整在工作站執行任務的方式，這些工具只會帶來麻煩，沒有任何實際的安全效益。

　　我們確實建議你在晚上安裝rkhunter。它很容易學習和使用;雖然它找不到狡猾的攻擊者，但它可以幫助你發現自己的錯誤。更多關于云計算培訓的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務經驗，采用全程面授高品質、高體驗培養模式，擁有國內一體化教學管理及學員服務，助力更多學員實現高薪夢想。