总结Centos7系统加固知识点

注意:此教程的云服务器以centos7以上为例,云服务器于阿里云购买

其他服务商的云服务器配置大同小异

建议:linux的服务器不建议安装图形化工具,因为占内存,占带宽,占资源,弊远大于利

手动更新系统:

yum -y update

防火墙配置:

service firewalld start //启动防火墙
systemctl enable firewalld.service //开机自启

selinux配置:

vim /etc/selinux/config

修改:

SELINUX=enforcing //设置强制模式
reboot //重启生效

ssh配置:(防暴力破解)

useradd normal //创建一个系统用户,设置只能通过这个用户远程登录系统
vim /etc/ssh/sshd_config

修改:

Port 2000 //端口必须大于1024
Protocol 2 //没有的话就添加,有就不用
PermitEmptyPasswords no //禁止空密码登录
X11Forwarding no //禁止端口转发
PermitRootLogin no //禁止root用户登录
MaxAuthTries 3 //允许三次尝试
LoginGraceTime 20 //在20秒内不能完成登录,则断开连接
AllowUsers normal //添加,只允许这个用户远程登录

保存退出,重启ssh

service sshd restart

防火墙开启ssh端口

firewall-cmd --zone=public --add-port=2000/tcp --permanent
firewall-cmd --reload

selinux开启ssh端口

yum -y install policycoreutils-python //安装selinux端口管理工具
semanage port -a -t ssh_port_t -p tcp 2000 //添加端口
semanage port -l |grep ssh //查看selinux开启的ssh端口
service sshd restart

防止IP SPOOF攻击

vim /etc/host.conf

末尾添加

nospoof on

禁止被ping

vim /etc/sysctl.conf

有则修改,无则添加

net.ipv4.icmp_echo_ignore_all=0

保存配置

sysctl -p

防火墙禁止被ping

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
firewall-cmd --reload

注意:也可以在阿里云控制台的安全组规则,删除允许ICMP协议的规则

每十多天更新一次系统,删除没有用到的软件,清除yum缓存

crontab -e

以下内容按需修改

0 0 */10 * * yum update -y
0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all

防火墙禁止端口扫描(centos7无效,端口还是被扫描出来了,不知道centos7以下是否生效)

iptables -F #清除防火墙策略
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop

卸载阿里云的云盾(安骑士),因为服务器本来就内存紧张,云盾弊大于利,卸载

wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

注意:卸载完成后,可以删除以上两个脚本文件。如果无法wget到文件,请联系站长索要!

屏蔽云盾IP,云盾会定期扫描服务器模拟黑客攻击

vim shield_ip.sh

添加如下内容:

#!/bin/bash
echo "开始屏蔽云盾扫描云服务器的IP"
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.0/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.16/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.192/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.184/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.183/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.206/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.195/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.204/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.0/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.192/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.192/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.223.0/26" drop'
firewall-cmd --reload

保存退出

chmod +x shield_ip.sh
./shield_ip.sh

注意:这些IP地址段来源于阿里云官方给的云盾服务器IP,来源:(https://help.aliyun.com/knowledge_detail/37436.html

编码设置:

vim /etc/locale.conf

删除原有,添加如下内容:

LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提示

reboot //重启生效

进入阿里云控制台,云服务器ECS–>安全组–>配置规则–>添加安全组规则

安全组添加ssh端口,否则外网是无法进入的,包括ftp和apache的端口不在安全组开放的话

下载xshell远程登录软件,normal用户远程登录至linux系统,xshell的使用不再赘述,登录成功后

su - root //提权

注意:在阿里云控制台远程连接登录系统后,不能以任何用户一直处于登录状态,使用系统完后,必须退出用户登录,界面保持在需要输入用户名的界面

如:在阿里云控制台登录(而不是xshell登录),退出用户登录命令

logout //exit也可以

注意:root用户的话必须退出两次才可以

最后:在阿里云控制台–>安全(云盾)–>态势感知–>开启态势感知服务–>设置邮箱或短信提醒

(0)

相关推荐

  • 总结Centos7系统加固知识点

    注意:此教程的云服务器以centos7以上为例,云服务器于阿里云购买 其他服务商的云服务器配置大同小异 建议:linux的服务器不建议安装图形化工具,因为占内存,占带宽,占资源,弊远大于利 手动更新系统: yum -y update 防火墙配置: service firewalld start //启动防火墙 systemctl enable firewalld.service //开机自启 selinux配置: vim /etc/selinux/config 修改: SELINUX=enfor

  • centos7系统下nginx安装并配置开机自启动操作

    准备工作 我的centos7系统是最小化安装的, 缺很多库, 首先安装必须的运行库 yum install wget gcc gcc-c++ pcre-devel zlib-devel ##创建工作目录并进入工作目录 mkdir -p /z/nginx && cd /z/nginx ##获取nginx最新的安装包 wget http://nginx.org/download/nginx-1.11.10.tar.gz ##解压缩 tar zxvf nginx-1.11.10.tar.gz #

  • svn服务器安装在centos7系统平台

    当今用于版本控制的软件程序主要的有svn和git,其它软件咱不熟悉,今天记录下搭建svn服务器和svn客户端使用: 使用环境: 虚拟机为centos7系统,svn服务器安装在centos7系统平台上,svn客户端分别在windows7和centos7系统上使用: 1.安装svn服务器: ]# yum install subversion 2.配置svn服务器: 建立svn版本库根目录及相关目录即svndata及密码权限命令svnpasswd: ]# mkdir -p /application/{

  • centos7系统nginx服务器下phalcon环境搭建方法详解

    本文实例讲述了centos7系统nginx服务器下phalcon环境搭建方法.分享给大家供大家参考,具体如下: 之前我们采用的是Apache服务器,可是每秒响应只能达到2000,听说nginx可以轻易破万, 于是换成nginx试试. phalcon的官网有nginx重写规则的示例,可是却与apache的不一致,被坑了好久. 1.添加nginx源 vi /etc/yum.repos.d/nginx.repo [nginx] name=nginx repo baseurl=http://nginx.

  • Centos7系统下搭建.NET Core2.0+Nginx+Supervisor环境

    Centos7系统下搭建.NET Core2.0+Nginx+Supervisor环境

    一.Linux .NET Core简介 一直以来,微软只对自家平台提供.NET支持,这样等于让这个"理论上"可以跨平台的框架在Linux和macOS上的支持只能由第三方项目提供(比如Mono .NET). 直到微软推出完全开源的.NET Core.这个开源的平台兼容.NET  Standard,并且能在Windows.Linux和MacOS上提供完全一致的API.虽然这个小巧的.NET框架只是标准.NET的一个子集,但是已经相当强大了. 一方面,这个小巧的框架可以让某些功能性应用同时运

  • CentOS7系统搭建LAMP及更新PHP版本操作详解

    本文实例讲述了CentOS7系统搭建LAMP及更新PHP版本操作.分享给大家供大家参考,具体如下: 搭建LAMP环境 用yum安装 安装Apache 安装Apache [root@localhost /]# yum install httpd httpd-devel 启动Apache [root@localhost /]# systemctl start httpd 设置Apache开机启动 [root@localhost /]# systemctl enable httpd Created s

  • 在VMWare虚拟机上安装Centos7系统的步骤详解

    在VMWare虚拟机上安装Centos7系统的步骤详解

    安装前工作: 确保已经安装好vmware workstation,准备好centos安装包. 以下演示安装工具及版本: VMware Workstation Pro 15.5.0 CentOS-7-x86_64-DVD-1908 安装步骤: 1.    选择左上角文件,新建虚拟机: 2.    选择自定义,并点击下一步:[从左往右依次读] 3.       一直点击下一步,到完成为止: 4.       编辑虚拟机设置,设置镜像位置:[从左往右依次读]      5.       点击开启此虚拟

  • centos7系统部署k8s集群详细介绍

    centos7系统部署k8s集群详细介绍

    目录 1 版本.规划 1.1 版本信息: 1.2集群规划 2.部署 1.关闭防火墙 2.关闭selinux 3.关闭swap 4.添加主机名和IP对应关系 5.将桥接的IPV4流量传递给iptables的链 6.安装docker 安装: 7.添加阿里云yum软件源 8.安装kubeadm.kubelet.kubectl 9.初始化master节点 10.安装pod网络插件(CNI) 11.node节点加入集群 1 版本.规划 1.1 版本信息: 名称 版本号 内核 3.10.0-1160.el7

  • VMware实现PXE+kickstart无人值守安装Centos7系统的详细过程

    VMware实现PXE+kickstart无人值守安装Centos7系统的详细过程

    目录 PXE实现无人值批量部署服务器 1.1 什么是PXE 1.2 什么是KickStart 1. 3 安装的必要条件 二.PXE工作原理 2.1 工作原理 2.2 本次实验环境 2.3 执行PXE+KiskStart安装需要准备内容 三.安装步骤 3.1 配置YUM源 3.2 关闭防火墙.selinux 3.3 安装DHCP .tftp(tftp-server.xinetd) 3.3.1 安装dhcp.tftp-server.xinetd 3.3.2 配置DHCP服务 3.3.3 配置tftp

  • 如何重置 RHEL7/CentOS7 系统的root密码

    目的 在 RHEL7/CentOS7/Scientific Linux 7 中重设 root 密码. 要求 RHEL7 / CentOS7 / Scientific Linux 7 指导 RHEL7 的世界发生了变化,重置 root 密码的方式也一样.虽然中断引导过程的旧方法(init=/bin/bash)仍然有效,但它不再是推荐的."Systemd" 使用 "rd.break" 来中断引导.让我们快速浏览下整个过程. 启动进入最小模式 重启系统并在内核列表页面在系

随机推荐