近期服務器頻繁有被暴力破解，大致分析了一下入侵行為，整理了常用的安全策略：

最小的權限+最少的服務=最大的安全

1. 修改ssh默認連接22端口 和 添加防火墻firewalld 通過端口
步驟：

1） 修改ssh的默認端口22：

vi /etc/ssh/sshd_config

2）讓防火墻通過這個端口

firewall-cmd --state【firewalld是否運行】
firewall-cmd --permanent --list-port【查看端口列表】
firewall-cmd --permanent --zone=public --add-port=48489/tcp【添加端口】
firewall-cmd --permanent --remove-port=48489/tcp【刪除端口】

3）重啟SSH服務，并退出當前連接的SSH端口

service sshd restart

4）然后通過putty ssh連接軟件鏈接一下，使用默認22號端口無法進入SSH，達到目的，就OK了~

2. 禁止root帳號直接登錄

Linux的默認管理員名即是root，只需要知道ROOT密碼即可直接登錄SSH。禁止Root從SSH直接登錄可以提高服務器安全性。經過以下操作后即可實現。

1）新建帳戶和設置帳戶密碼

useradd ityangs
passwd ityangs

2）不允許root直接登陸

vi /etc/ssh/sshd_config

查找“#PermitRootLogin yes”，將前面的“#”去掉，短尾“Yes”改為“No”，并保存文件。

systemctl restart sshd.service【重啟ssh,另一種方法重啟】

3）下次登陸

先使用新建賬號“ityangs”以普通用戶登陸。

若要獲得ROOT權限，在SSH中執行以下命令

su root

執行以上命令并輸入root密碼后即可獲得root權限。

4）WinSCP下su切換到root的技巧（禁止root遠程ssh登錄時）

限制了root用戶的遠程登錄，但是重要的數據文件都是700。更可悲的是，WinSCP完全失去了用武之地。因為root賬戶無法登陸，而像是FTP，SFTP，SCP這些協議都不支持在登錄以后切換用戶。
SCP協議在登錄的時候可以指定shell，一般默認的也就是推薦的是/bin/bash，但是我們可以修改它來玩花樣，比如改成sudo su -
但是新問題又來了，sudo需要輸入密碼，但是WinSCP在登錄的時候并沒有交互過程。但是天無絕人只要在root權限之路，只要在root權限下visudo，添加如下一行即可取消sudu時的密碼：
yourusername ALL=NOPASSWD: ALL
為了可以在非putty的環境下sudo，我們還需要注釋掉下面一行：
Defaults requiretty
然后保存，即可在登錄到WinSCP的時候享受root的快感啦！

步驟：

普通用戶ssh到服務器，切換到root權限
visudo，然后添加 yourusername ALL=NOPASSWD: ALL 這一行，注釋掉Defaults requiretty

[root@iZ252wo3Z ~]# visudo
ityangs ALL=NOPASSWD: ALL
#Defaults requiretty 【沒有可不用管】

修改WinSCP的文件協議為SCP

修改環境-SCP/Shell下的shell為sudo su-