1.关闭无用的开机服务(chkconfig)，只保留messagebus、networ、rsyslog、udev-post、sshd、iptables服务，其他全部关闭。

2.修改开机会执行的/etc/rc.d/rc.local文件，把里面所有的内容全部用#注释掉。

完成上面两个步骤重启开机系统centos6.5只占用70MB左右内存。

3.修改root密码passwd。

4.创建一个普通用户(useradd)，设置密码。

5.修改ssh的端口，禁止root用户登录ssh，(没重启服务没断开不会影响这次连接)。

6.安装vsftpd，修改vsftpd端口，vsftpd配置允许本地用户登录(不包括root，简单为上)，开启pasv模式，设置pasv端口。

7.配置iptables防火墙，默认禁止所有INPUT,FORWARD端口，允许INPUT的80端口，vftp端口，ssh端口访问。

8.如果你有安装apache，将apache默认端口修改成非80端口，然后在iptables配置里将XXX端口转发到80端口上。（因为非root用户是没有权限开启80端口的，这样能解决这个问题）。

9.设置swap，大小是物理内存*1.5的原则，swap一般都是使用空间都是0基本用不到，但是要留在防止内存不够用服务器会挂了。

上面操作后，重启系统。用ssh登录，这时已经无法用root用户登录了，只能先用普通用户登录ssh后，再用suroot，换成root登录。这样是不是安全级别又上了一级？

但是还需要检查以下几个问题，ecs是否还能对外ping？是否还能访问数据库？如果不行就要修改iptables了。

用ftp工具登录vsftp（这里只能用普通用户登录ftp了），上传你需要安装程序所需文件，先用root解压安装，然后设置权限。

以下是我在centos系统的使用程序的安全经验，这里举个例子，环境是apache+php：

1.将apache+php文件夹设置成只读只执行，也是5。命令是chmod-R500apache。要设置里面所有的。

2.将apache中日志文件夹和临时文件夹设置为读写的权限。如果你网站上有上传文件夹，也要将上传文件夹设置为可读写，其他文件夹只能读取和执行(浏览目录)。

3.网站的文件夹中可读写的文件夹要在apache中单独做禁止php代码执行的配置(即使网站已经限制了上传php文件，但再加一层锁也无妨)。

4.然后将文件夹所有者修改成普通用户（chown）。

5.su到普通用户，用普通用户来启动apache。

上面步骤操作操作后，网站就安全了很多，只要你没有把root密码设置得太简单。