## （一）解答战略 去企业面试时是有多位竞争者的，因此要注意答题的维度和高度，一定要直接秒杀竞争者，搞定高薪offer。 ## （二）解答战术 因为Linux下的木马常常是恶意者通过Web的上传目录的方式来上传木马到Linux服务器的，可根据从恶意者访问网站开始-->Linux系统-->HTTP服务-->中间件服务-->程序代码-->DB-->存储，层层设卡防护。 ## （三）从用户访问角度解答参考 1. 开发程序代码对上传文件类型做限制，例如不能上传.php程序（JS及后端代码控制）。 2. 对上传的内容（包括文本和文件）检测，检测方式可通过程序、Web服务层（中间件层）、数据库等层面控制。 3. 控制上传目录的权限以及非站点目录的权限（Linux文件目录权限+Web服务层控制）。 4. 传上木马文件后的访问和执行控制（Web服务层+文件系统存储层）。 5. 对重要配置文件、命令和WEB配置等文件做md5指纹及备份。 6. 安装杀毒软件clamav等，定期监测查杀木马。 7. 配置服务器防火墙及入侵检测服务。 8. 监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。 ## （四）从内部管理人员角度：防止被提权 1. **管理服务器或Web化管理服务器。** 2. ssh监听内网。 3. 采用跳板机、操作审计。 4. sudo集权管理、锁定关键文件。 5. 站点目录、上传目录权限属组控制。 6. 做系统及站点文件备份指纹监控报警。 7. 动态口令认证。 （五）最佳网友解答 因为Linux木马常常通过web的上传目录的方式来上传木马到Linux服务器，因为防御Linux木马可以通过以下途径来防范。 1. 对用户可以上传的文件类型和上传位置做严格限制。 2. 用户上传的文件在服务器中应该配置只具有可读权限。 3. 用户的上传目录所属主只具有较小的合适权限。 4. 对重要的配置文件和WEB文件做md5校验及备份 5. 对服务器开放的端口和运行的进程做监控，经常检查监控日志，在有异常进程或端口时能及时发现。