木马防范

事前防范

• 尽量减少用sudo用户数量

• 督促各用户使用强密码（大小写、特殊符号等），尤其是sudo用户

• 禁用crontab

• 使用fail2ban防止暴力破解密码（默认错误5次ban十分钟）

  sudo apt-get install fail2ban
  sudo service fail2ban start

  如果sshd不是默认开在22端口，则在/etc/fail2ban中复制fail2ban.conf到fail2ban.local，然后在里面修改端口号

事后防范

如果已经中木马（并清除），需要检查是否还有显而易见的后门

• 修改密码

• 检查定时任务

  /var/spool/cron/* 
  /etc/crontab
  /etc/cron.d/*
  /etc/cron.daily/* 
  /etc/cron.hourly/* 
  /etc/cron.monthly/*
  /etc/cron.weekly/
  /etc/anacrontab
  /var/spool/anacron/*

• 检查ssh免密登录（尤其是/root/.ssh/下可能出现多个authorized_keys开头的文件，多出来的可以全都删掉）

  /root/.ssh/authorized_keys*
  /home/*/.ssh/authorized_keys