好不容易買了服務(wù)器,如果因?yàn)樽约旱氖韬?,?a href="http://wenjunhu.com/v/tag/10353/" target="_blank">黑客黑掉的話,那真的是太糟糕了!
下面告訴你一些簡(jiǎn)單的方法提高服務(wù)器的安全系數(shù),我的云服務(wù)器就是這么配置的,雖然有些麻煩,但是感覺(jué)安心一些。
修改 ssh 登陸配置
打開 ssh 配置文件
vim/etc/ssh/sshd_config
#修改以下幾項(xiàng)
Port10000
#更改SSH端口,最好改為10000以上,別人掃描到端口的機(jī)率也會(huì)下降。防火墻要開放配置好的端口號(hào),如果是阿里云服務(wù)器,你還需要去阿里云后臺(tái)配置開發(fā)相應(yīng)的端口才可以,否則登不上哦!如果你覺(jué)得麻煩,可以不用改
Protocol2
#禁用版本1協(xié)議, 因?yàn)槠湓O(shè)計(jì)缺陷, 很容易使密碼被黑掉。
PermitRootLoginno
#嘗試任何情況先都不允許 Root 登錄. 生效后我們就不能直接以root的方式登錄了,我們需要用一個(gè)普通的帳號(hào)來(lái)登錄,然后用su來(lái)切換到root帳號(hào),注意 su和su -是有一點(diǎn)小小區(qū)別的。關(guān)鍵在于環(huán)境變量的不同,su -的環(huán)境變量更全面。
PermitEmptyPasswordsno
#禁止空密碼登陸。
最后需要重啟 sshd 服務(wù)
servicesshdrestart
禁止系統(tǒng)響應(yīng)任何從外部 / 內(nèi)部來(lái)的 ping 請(qǐng)求
echo“1”>/proc/sys/net/ipv4/icmp_echo_ignore_all
其默認(rèn)值為 0
用戶管理
下面是基本的用戶管理命令
查看用戶列表:cat /etc/passwd
查看組列表:cat /etc/group
查看當(dāng)前登陸用戶:who
查看用戶登陸歷史記錄:last
一般需要?jiǎng)h除系統(tǒng)默認(rèn)的不必要的用戶和組,避免被別人用來(lái)爆破:
userdelsync
userdelshutdown
#需要?jiǎng)h除的多余用戶共有:sync shutdown halt uucp operator games gopher
groupdeladm
groupdelgames
#需要?jiǎng)h除的多余用戶組共有:adm lp games dip
Linux 中的帳號(hào)和口令是依據(jù) /etc/passwd 、/etc/shadow、 /etc/group 、/etc/gshadow 這四個(gè)文檔的,所以需要更改其權(quán)限提高安全性:
chattr+i/etc/passwd
chattr+i/etc/shadow
chattr+i/etc/group
chattr+i/etc/gshadow
如果還原,把 +i 改成 -i , 再執(zhí)行一下上面四條命令。
注:i 屬性:不允許對(duì)這個(gè)文件進(jìn)行修改,刪除或重命名,設(shè)定連結(jié)也無(wú)法寫入或新增數(shù)據(jù)!只有 root 才能設(shè)定這個(gè)屬性。
創(chuàng)建新用戶
創(chuàng)建新用戶命令:adduser username
更改用戶密碼名:passwd username
個(gè)人用戶的權(quán)限只可以在本 home 下有完整權(quán)限,其他目錄要看別人授權(quán)。而經(jīng)常需要 root 用戶的權(quán)限,這時(shí)候 sudo 可以化身為 root 來(lái)操作。我記得我曾經(jīng) sudo 創(chuàng)建了文件,然后發(fā)現(xiàn)自己并沒(méi)有讀寫權(quán)限,因?yàn)椴榭礄?quán)限是 root 創(chuàng)建的。
sudoers 只有只讀的權(quán)限,如果想要修改的話,需要先添加 w 權(quán)限:chmod -v u+w /etc/sudoers 然后就可以添加內(nèi)容了,在下面的一行下追加新增的用戶:wq 保存退出,這時(shí)候要記得將寫權(quán)限收回:chmod -v u-w /etc/sudoers
賦予 root 權(quán)限
- 方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的注釋(#)去掉
##Allowspeopleingroupwheeltorunallcommands
#去掉下面一句的前面的注釋#
%wheelALL=(ALL)ALL
#然后修改用戶,使其屬于root組(wheel),命令如下:
#usermod-grootuusama
修改完畢,現(xiàn)在可以用 uusama 帳號(hào)登錄,然后用命令 su – ,即可獲得 root 權(quán)限進(jìn)行操作。
- 方法二(推薦):修改 /etc/sudoers 文件,找到下面一行,在 root 下面添加一行,如下所示:
##Allowroottorunanycommandsanywhere
rootALL=(ALL)ALL
uusamaALL=(ALL)ALL
修改完畢,現(xiàn)在可以用 uusama 帳號(hào)登錄,然后用命令 sudo -s ,即可獲得 root 權(quán)限進(jìn)行操作。
- 方法三:修改 /etc/passwd 文件,找到如下行,把用戶 ID 修改為 0 ,如下所示:
uusama500tommy:/home/uusama:/bin/bash
#修改后如下
uusama0tommy:/home/uusama:/bin/bash
保存,用 uusama 賬戶登錄后,直接獲取的就是 root 帳號(hào)的權(quán)限。
審核編輯 :李倩
-
Linux
+關(guān)注
關(guān)注
87文章
11304瀏覽量
209542 -
服務(wù)器
+關(guān)注
關(guān)注
12文章
9165瀏覽量
85438 -
root
+關(guān)注
關(guān)注
1文章
86瀏覽量
21393
原文標(biāo)題:建議收藏?。?!Linux 服務(wù)器必備的安全設(shè)置~
文章出處:【微信號(hào):良許Linux,微信公眾號(hào):良許Linux】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論