线上服务器配置：

阿里云，centos系统，jdk1.8

1.修改ssh默认端口

sudo sed -i "s/#Port 22/Port 6666/g" /etc/ssh/sshd_config sudo sed -i "s/#LoginGraceTime 2m/LoginGraceTime 30/g" /etc/ssh/sshd_config sudo sed -i "s/#MaxAuthTries 6/MaxAuthTries 3/g" /etc/ssh/sshd_config sudo echo -e 'Protocol 2' >> /etc/ssh/sshd_config sudo service sshd restart

2.修改服务器密码

8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()`~!@#$%^&*_-+=|{}[]:;'<>,.?/ 中的特殊符号

   生成随机密码：https://suijimimashengcheng.51240.com/

3.SSH密钥对登录

  阿里云直接支持 ，比密码登录安全性更高，建议使用

  SSH密钥对通过加密算法生成一对密钥，默认采用RSA 2048位的加密方式。要使用SSH密钥对登录Linux实例，您必须先创建一个密钥对，并在创建实例时指定密钥对或者创建实例后绑定密钥对，然后使用私钥连接实例。

4.禁用服务器上所有外网访问端口

可单独购买一台低配置机器做跳板机，通过这台跳板机跳到所有服务器上，搭建V、P、N，通过V、P、N访问所有服务器如果机器特别多的话，可使用JumpServer 堡垒机等进行管理

5.谷歌身份验证器Goo、gle Authenticator

特殊机器增加使用谷歌身份验证器Goo、gle Authenticator验证登录，比如那些需要对外暴露端口的机器，nginx、v、p、n.....

6.及时升级服务器漏洞补丁

在阿里云的云安全中心可一键升级

7.DDoS防护

应对流量型攻击，可直接购买阿里云防护服务

8.对外接口使用Https

 可在阿里云申请1年期的免费SSL证书，如果在nginx下配置ssl，可参考下面代码

server { listen 443 ssl; server_name www.xxx.com; ssl_certificate /usr/local/nginx/ssl/xxxxxxx.pem; ssl_certificate_key /usr/local/nginx/ssl/xxxxxxx.key; location / { proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Forwarded-Host $server_name; proxy_set_header Host $host; proxy_pass http://xx.xx.xx.x:8084; } } server { listen 80; server_name www.xxx.com; rewrite ^(.*) https://$server_name$1 permanent; }

9.jasypt加密数据库密码加密

可参考 https://www.jianshu.com/p/aedd4dee00bc

10.前端添加内容安全策略( CSP )

可参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP