1、怎样禁止普通用户使用su命令？

[root@svr203 ~]# vim  /etc/pam.d/su.. ..auth required pam_wheel.so use_uid    //去掉此行开头的#号

2、如何提高Linux服务器主机的SSH防爆破能力？

比如，禁止直接以root用户SSH登录，可允许zhsan用户SSH登录，然后再通过su -切换为root（或者授予sudo权限）。

[root@svr203 ~]# vim  /etc/ssh/sshd_configPermitRootLogin  no[root@svr203 ~]# systemctl  restart  sshd

3、如何了解用户通过sudo做过哪些操作？

[root@svr203 ~]# visudo.. ..Defaults  logfile=/var/log/sudo         //添加此行，要求记录sudo操作到指定文件[root@svr203 ~]# less /var/log/sudo     //当用户使用sudo操作后，可以查看此文件新增的内容.. ..

4、要提高LAMP网站的防护能力，通常从哪些方面着手？

1）如何降低Web数据库的安全风险？    网络防护：防火墙（安全组规则）、流量限制    用户授权：严格限制用户访问权限（不要轻易给root，不要轻易给all）、来源地址（不要轻易面向所有主机）    Web接入：严格控制Web接入的账号设置（包括账号设置文件的访问权限）比如：/var/www/html/bbs/config/config_global.php 记录了前台Web系统如何访问数据库比如：/var/www/html/bbs/config/config_ucenter.php 记录了后台Web系统如何访问数据库    数据库代码的优化 2）Web服务的安全加固可以从哪些方面入手？     Web服务配置优化（隐藏版本信息、伪装版本信息-修改源代码重编译、拒绝自动索引、拒绝使用连接文件、……）     PHP解析环境配置（关闭系统调用函数、关闭文件上传、图片支持、文件压缩、……）     网络防火墙、系统防火墙、SELinux、SSH远程访问控制、su/sudo的使用和跟踪     Web程序代码的优化（如：SQL注入的输入验证……）     WAF防火墙、……!!!! 默认情况下，各种云服务器的防护墙、SELinux都是关闭的。!!!! 云服务商会提供安全防护产品（基础主机防护、云备份、WAF防火墙、DDoS高防、负载均衡、CDN、……）

DNS欺骗是什么

定义： DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

DDOS有哪些,CC攻击是什么,区别是什么,在哪一个层面,什么协议

SYN攻击 防火墙、特征匹配ACK FLOODUDP FLOODICMP FLOODCC http的get请求陆地攻击 源IP和目的IP都为同一个UDP DNS QUERY 向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层DNS服务器递归查询域名信息。

陆地land攻击是什么

LAND 攻击旨在通过使系统资源超载来使设备无法使用或减慢设备速度，从而使任何授权用户都无法使用它。 大多数时候，这些攻击的目的是针对特定用户，限制其进行传出网络连接的访问。 陆地攻击还可以针对整个企业，阻止传出流量到达网络并限制传入流量。

基线检查

安全基线表达了最基本需要满足的安全要求。

基线核查：是安全基线配置核查的简称，一般指根据配置基线(不同行业及组织具有不同安全配置基线要求)

要求对IT设备的安全配置进行核实检查，以发现薄弱或未满足要求的配置。

1.基线检查对象：注意在任何基线相关管理过程中，都需要优先统计出资产的数量、类型

2.基线检查维度：不论是对硬件或软件，基线核查都有通用的维度，主要包含以下方面：访问控制；授权管理；入侵防范；日志审计；资源管理。

（1）访问控制

例如：

用户权限管理

用户口令管理，重命名默认用户，修改默认口令

删除或停用不必要的账号，避免共享账号

用户最小权限，权限分离

访问控制颗粒度，进程、文件、数据库表

敏感信息安全标记

（2）授权管理

例如：

各应用系统、设备的用户管理（用户及权限评审、密码管理)

登录失败处理（账号锁定、超时退出)

远程管理链路要加密(https ssh rdp)

双因素验证

（3）入侵防范

例如：

设备和系统的最小安装原则

端口服务默认关闭

设备管理时需要设置允许管理范围

系统和设备的漏洞管理

对重要节点和设备自身的入侵检测

（4）日志审计

所有设备和系统是否开启安全审计

审计包含用户、时间、事件类型、事件成功等

审计记录定期备份

审计进程的保护

审计设备的时钟统一

应用上的用户行为审计

（5）资源管理

限制单用户的对资源和进程的使用

重要节点设备的冗余

重要节点的监控，CPU内存硬盘

重要节点的服务性能检测

应用闲置时，自动结束会话

业务系统或中间件的最大会话数限制

单用户的会话限制

进程所占用资源的限制