hi，最近我管理的一台服务器被入侵了，造成的影响是：
1、这台服务器被黑客利用，干了非法的勾当，惊动了高层；
2、黑客将日志全删了，找不到入侵的时间和动作；

目前，我的压力非常大，存在相同漏洞的服务器还有50台，有没有运维的兄弟说说今后如何加固这台服务器，包括事前防范和事后追踪这两个方面来谈。

我想到的有：

一、事前防范
如何防止暴力破解

二、事后追踪
如何保证日志不被删除
只允许ssh-key登录禁止密码登录
禁止root用户
denyhost防暴破，定期分析日志
sshd只监听内网连接

fail2ban 可以针对 ftp ssh 等服务暴力破解等自动生成 iptables 规则进行防范

嗯，fail2ban是可以防一下，另外，假如不幸被攻破，黑客利用root权限进行非法操作，我如何保证日志不被其删除？

@eric_q
实际上我很怀疑是内网的用户直接用root来操作本服务器，只是他将日志删除了，我们找不到罪证。

日志定时传送到可信服务器。

1.所有服务或者程序分配一个账号来跑并设置成不能登录，就算你应用有问题通过应用入侵了也干不了事情。如果内部处理逻辑的程序只bind内网地址。有条件的话对服务做chroot
2.root不能远程登录。用户使用证书登录。
3.重要文件备份
4.iptables只开启要用的端口
5.监控日志。发现特定条件触发报警。

hmm，这些服务器都是部署在客户处，可信服务器也只能部署在互联网上，如何保证日志的转发是安全的，不会被截获？

你确定他删除了日志 就找不到证据么。。看看每个用户目录下的 .bash_history，以及 btmp ,utmp 这些文件。

惊动了高层这句话把我震到了，敢问LZ是特殊部门？

那就是管理问题了。
首先有很多人有root权限么？root权限应该只给极少数的人。
其次日志要中心化存储，他要删只能删本地日志。日志是系统核心，一定要妥善管理。
把root密码设为随机数，统一用sudo，谁在那时提权一看便知。
最后，该报警就报警。

@dndx
理解有误，理解有误，高层指的是单位的领导
@9hills
嗯，的确，之前的管理不是很规范，我总结了一下：
1、维护人员分配非特权账号，并且通过ssh-key登录；
2、日志要通过加密隧道，上传到中心服务器；譬如syslog-ng或rsyslog均可
3、监控日志，发现特定条件触发报警，不过这部分我心里还没谱，不知道通过何种解决方案实现。
4、有条件的对应用进行chroot；
5、iptables开放特定端口
另外，不知道SElinux和AppArmor不知道效果如何？

你的LINUX提供了什么服务?
WEB还是其它的，是不是运行在ROOT权限下？如页面的执行权限。
更多的原因是服务运行在一个不应该运行的权限下导致的。

我刚在所有服务器上装了 denyhosts
另外,这个是不是楼主po的? http://www.sxsoft.com/index.php/proj/content/show/57428 linux下通过http post上传日志文件