修改SSH缺省端口
SSHD的默认端口就是 22 ，地球人都知道，通常黑客在没有准确目标的情况下要寻找 Linux机器的最好方法就是扫描所有开放了 22 端口的机器，然后放在一个列表里，一个个去探求它的漏洞。
比如 nmap4 的新功能 nmap -v -iR 10000 -P0 -p 22 可随机在10000个IP里去寻找开放了 22 端口的机器。当然也可以有目标的把日本或者其他国家的ip段添上再扫描。
通常是按照服务对应的常规端口去扫描，除非用全端口1-65535，但除非是针对性的对一台机器扫描，否则这样效率不高。
把默认端口改变成60022的步骤如下：
vi /etc/ssh/sshd_config
找到#Port 22，标识默认使用22端口，如果需要更改为8888则去掉前面的 # 注释符号，修改为：Port 60022
然后重启服务进程
/etc/init.d/sshd restart
或者
kill -HUP `cat /var/run/sshd.pid`
3.3 sshd_config其他安全选项
把 #PermitRootLogin yes 改为 PermitRootLogin no 可防止 root 远程登陆
把 #Protocol 1,2 改 Protocol 2 ，不用 SSH protocol 1 协议，只用 2
当然还有一些选项，视需要而定，比如：Banner的伪造、登陆失败后的的锁定时间、是否允许空口令帐号登陆、服务器密钥的位数等、允许登陆的用户和IP等。
3.4 TCP Wrappers 列出白名单
TCP Wrappers的防护思想和防火墙原则一样，除非允许，否则默认是禁止的，在 Redhat 所有发行版上默认是安装了这个程序的，可利用此程序来允许可连接的客户端机器。先在 /etc/hosts.deny中添加禁止来自任何地方对所有服务的访问，然后在 /etc/hosts.allow 中添加允许的机器ip或者域名
Vi /etc/hosts.deny， ALL:ALL
Vi /etc/hosts.allow
sshd:172.168.20.0/255.255.255.0, 192.168.20.163

 

二、

将web文件放在一个专门用于vsftp的用户目录内（useradd -d /srv/www），这样方便通过ftp直接上传web文件，但是当我 DocumentRoot "/srv/www/web" 这样配置apache的时候，结果启动apache后，访问时却出现了没有权限，拒绝访问的提示？

解决方法：

１、ls -ld /srv/www
看看apache的用户有没有访问的权限，其实你可以开启apache用户，然后apache用户ftp上传，这是最方便的了。

２、将/srv目录删来丢了，重新建立了一个/srv，然后将用户添加成 adduser -d /srv/www -s /sbin/nologin -M 这样就正常了。