0.內部設置跳板機，服務器只能通過跳板機登錄
1.禁止ROOT用戶遠程登錄和登錄端口
禁止ROOT用戶遠程登錄 。打開  /etc/ssh/sshd_config  
PermitRootLogin no
2.對用戶密碼強度的設定
12個字符以上，大小寫，特殊字符
3.對重要的文件進行鎖定，即使ROOT用戶也無法刪除
chattr    改變文件或目錄的擴展屬性

lsattr    查看文件目錄的擴展屬性

chattr  +i  /etc/passwd /etc/shadow                 //增加屬性
chattr  -i  /etc/passwd /etc/shadow                 //
 
移除屬性  
lsattr  /etc/passwd /etc/shadow
--------------------- 
https://blog.csdn.net/qq_36119192/article/details/82906799 

內核參數調優：
0.redis服務器內核調優
就一條
vm.overcommit_memory = 1
為了避免當系統內存不足時，系統殺掉內存占用最大的程序（往往都是redis QAQ）。
不要忘了執行命令生效一下
1.#增大文件描述符
ulimit -n 65536
echo -ne "
* soft nofile 65536
* hard nofile 65536
 

" >>/etc/security/limits.conf

2.#修改系統線程限制
echo -ne "
* soft nproc 2048
* hard nproc 4096
" >>/etc/security/limits.conf

0.鏈接追蹤表問題
nginx服務器在開啟防火墻時最容易遇到如下情況
執行dmesg命令，查看系統打印信息
nf_conntrack: table full, dropping packet
（鏈接追蹤表已滿）
這是相當常見的問題，而且十分嚴重，導致服務器隨機丟棄請求，你的並發突破不了幾千。

調優方式：
增加或者修改內核參數
vim 
 
/etc/sysctl.conf
net.nf_conntrack_max = 655360 （狀態跟蹤表的最大行數，16G的服務器）
net.netfilter.nf_conntrack_tcp_timeout_established = 1200（設置超時時間）
修改完畢後執行sysctl-p生效命令。
參考：https://www.cnblogs.com/kerwinC/p/6835208.html

linux 服務器安全加固和內核參數調優 nf_conntrack