规范化Linux服务器的安全设置
1.限制root权限用户远程登录&以及登录端口
描述限制root权限远程登录。先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。
1. 修改文件/etc/ssh/sshd_config配置
PermitRootLogin no
port=42 同时把防火墙的端口打开哦。
2. 重启sshd服务
查看状态:
systemctl status sshd.service 启动服务: systemctl start sshd.service 重启服务: systemctl restart sshd.service 开机自启: systemctl enable sshd.service
3.新建一个用户,用来登录
3.1 创建语句:
adduser --system --no-create-home --group yourusername
默认创建的新用户是无法登录的
https://jingyan.baidu.com/article/00a07f380868f382d028dcf8.html
回到顶部
3.2 设置密码(需要切换到root下进行设置)
passwd test 设置密码
设置root不能登录:touch nologin 意思是除了root 其他账户都不能登录
然后普通用户可以切到root账号:su - 然后输入root的账号密码
2 禁用ping
vi /etc/rc.d/rc.local下添加一行:echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all,0表示运行,1表示禁用
3注释不需要的用户和用户组
vi /etc/passwd 注释不需要的用户,“#”注释,如下:
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
vi /etc/group 注释不需要的用户组,如下:
#adm:x:4:root,adm,daemon
#lp:x:7:daemon,lp
#uucp:x:14:uucp
#games:x:20:
#dip:x:40:
#news:x:9:13:news:/etc/news
4.禁止非root用户执行/etc/rc.d/init.d/下的系统命令
chmod -R 700 /etc/rc.d/init.d/*
chmod -R 777 /etc/rc.d/init.d/* #恢复默认设
5.修改ssh默认的端口ssh默认会监听22端口,可以修改至8822端口以避过常规的扫描
1、修改22端口为8822端口,vi /etc/ssh/sshd_config把port 22改为port 8822
2、service sshd restart
3、查看端口是否正确,netstat -lnp|grep ssh
4、防火墙开放8822端口,vi /etc/sysconfig/iptables,添加-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8822 -j ACCEPT
重启iptables服务,service iptables restart
6 禁止Ctrl-Alt-Delete组合键重启系统
在linux的默认设置下,同时按下Control-Alt-Delete键,系统将自动重启,这是很不安全的,因此要禁止Control-Alt-Delete组合键重启系统,只需修改/etc
1 2 |
/inittab文件: [root@localhost~]#vi /etc/inittab |
找到此行:ca::ctrlaltdel:/sbin/shutdown -t3 -r now
在之前加上“#”
然后执行: