# 木马防范

## 事前防范

* 尽量减少用sudo用户数量
* 督促各用户使用强密码（大小写、特殊符号等），尤其是sudo用户
* [禁用crontab](https://blog.csdn.net/weixin_39775577/article/details/117276333)
* 使用fail2ban防止暴力破解密码（默认错误5次ban十分钟）

  ```
  sudo apt-get install fail2ban
  sudo service fail2ban start
  ```

  如果sshd不是默认开在22端口，则在/etc/fail2ban中复制fail2ban.conf到fail2ban.local，然后在里面修改端口号

## 事后防范

如果已经中木马（并清除），需要检查是否还有显而易见的后门

* 修改密码
* 检查定时任务

  <pre><code>/var/spool/cron/* 
  /etc/crontab
  <strong>/etc/cron.d/*
  </strong>/etc/cron.daily/* 
  /etc/cron.hourly/* 
  /etc/cron.monthly/*
  /etc/cron.weekly/
  /etc/anacrontab
  /var/spool/anacron/*
  </code></pre>
* 检查ssh免密登录（尤其是/root/.ssh/下可能出现多个authorized\_keys开头的文件，多出来的可以全都删掉）

  <pre><code>/root/.ssh/authorized_keys*
  <strong>/home/*/.ssh/authorized_keys
  </strong></code></pre>