CentOS 初级安全防护

Centos 初级安全防护

最近我的阿里云服务器被暴力破解严重,所有想办法解决服务器安全问题。这里声明一下,我使用的centos7.2,我的基本策略如下:

  • 禁止root账号远程登录
  • 修改远程ssh登录端口
  • 开启防火墙 iptables

今天这篇文章就分享我是如何禁止root账户远程登录,修改远程ssh端口和开启iptables的。具体思路是这样:

禁止root账号远程登录

一.首先创建一个可供远程登录的账号

例如:example 账号,输入命令:

adduser example
二.设置example密码

输入命令:

passwd example

系统会提示:
New password:输入并重复输入你设置的密码后系统会提示你
passwd: all authentication tokens updated successfully.

三.禁止root账户登录

输入命令:

vim /etc/ssh/sshd_config

修改ssh配置文件

PermitRootLogin yes修改为PermitRootLogin no

修改后就完成了第一步,禁止root账号登录密码,且还有一个账号可供自己ssh远程登录,但是需要记住,修改完配置文件之后需要重启sshd服务

service sshd restart

修改远程ssh登录端口

这个比较简单,同样在 /etc/ssh/sshd_config文件下改

vim /etc/ssh/sshd_config

将 port前面的# 去除
#port 22修改为port 2233


修改配置文件必须重启sshd服务才能生效,这一步先不要急着重启服务,因为你不知道你的iptables时候是开启,如果是开启状态,因为你没有将刚刚设置的端口设置为开启,会导致自己都无法ssh远程连接服务器。

开启防火墙 iptables

清楚防火墙原来规则

iptables -F

保存防火墙配置

service iptables save

停止防火墙

service iptables stop

开放ssh防火墙

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

开放http防火墙

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

开放数据库防火墙规则

iptables -A INPUT -s 192.168.3.0/24 -p tcp --dport 3306 -j ACCEPT

开放回环地址访问规则

iptables -A INPUT -i lo -j ACCEPT

开放ping防火墙规则

iptables -A INPUT -p icmp -j ACCEPT

开放vrrp防火墙规则

iptables -A INPUT -p vrrp -j ACCEPT

开放防火墙规则

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

防火墙进来默认规则为drop

iptables -P INPUT DROP

防火墙出去默认规则为drop

iptables -P OUTPUT ACCEPT

保存防火墙配置

service iptables save

重启防火墙

service iptables restart

到此,基本linux安全防护已经做完,对于一般的小型服务器已经足够,个人站长从此不需要担心黑客的骚扰了。

《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
讨论数量: 6
leo

禁用密码登录,比这些手段要有效得多

7年前 评论

@leo 请教,是什么思路

7年前 评论
leo

@bean 使用rsa key来登录,暴力破解这条路基本走不通了

7年前 评论

@leo 但是这样会有个问题,你想换个电脑登录服务器就比较麻烦了,这个我自己电脑上也使用这个方法登录,但是,如果使用别人的电脑这样登录的话,需要添加这个key才行

7年前 评论
leo

@bean 工作这么多年,貌似没有出现过这种需求

7年前 评论

我都是把 key 放云端,要用的时候在下载下来

7年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!