在日常工作中,很多人会问,我从阿里云买了一个主机,从腾讯和百度买了一个虚拟云主机。这里需要指出一点,托管服务商不仅提供最基本的安全保护,而且不包括对您业务的保护。最基本的功能包括流量清洗、防ddos攻击系统级漏洞检测(0day)端口映射等功能,但是对于服务器本身的安全性还是需要你自己设置。
买个云主机,ok,是裸机,相当于安装了新的服务器,那么需要做什么,我们一一列举:
1.修改远程管理ssh的默认端口修改/etc/ssh/sshd_config
#port22修改为 port10022##(端口可以根据自己需要设置)
2.添加用户用户禁止root直接登录
useradduser##添加登录用户设置相应密码 修改/etc/ssh/sshd_config #PermitRootLoginyes修改为 PermitRootLoginno
3.打开IPtables设置规则,只打开2280443等必要的端口,
/sbin/iptables-PINPUTACCEPT /sbin/iptables-F /sbin/iptables-X /sbin/iptables-Z /sbin/iptables-AINPUT-ilo-jACCEPT /sbin/iptables-AINPUT-ptcp--dport22-jACCEPT###这里ssh的端口要跟之前修改的对起来否则连不上哦 /sbin/iptables-AINPUT-ptcp--dport80-jACCEPT /sbin/iptables-AINPUT-ptcp--dport443-jACCEPT /sbin/iptables-AINPUT-ptcp-s内网地址可添加-jACCEPT /sbin/iptables-AINPUT-picmp-micmp--icmp-type8-jACCEPT /sbin/iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT /sbin/iptables-PINPUTDROP
4.关闭selinux,打开这个东西很麻烦,建议关闭
vi/etc/selinux/config 修改SELINUX=enforcing为 SELINUX=disabled
重启系统生效
5.关闭系统不需要的服务
centos7 查看启动服务systemctllist-unit-files|grepenabled
根据您的需要关闭
6.服务器禁止ping,根据需要设置是否禁止ping
iptables-IINPUT-ieth0-picmp-s0/0-d0/0-jDROP
7.禁止非root用户执行/etc/rc.d/init.d/下的系统命令
chmod-R700/etc/rc.d/init.d/* chmod-R777/etc/rc.d/init.d/*#恢复默认设置
8.用户和密码文件的权限控制
chmod600/etc/passwd chmod600/etc/shadow chmod600/etc/group chmod600/etc/gshadow
9.为以下文件添加不可变属性,防止未经授权的用户获得访问权限
chattr+i/etc/passwd chattr+i/etc/shadow chattr+i/etc/group chattr+i/etc/gshadow chattr+i/etc/services#给系统服务端口列表文件加锁,防止未经许可的删除或添加服务 lsattr/etc/passwd/etc/shadow/etc/group/etc/gshadow/etc/services#显示文件的属性 注意:执行以上权限修改之后,就无法添加删除用户了。
如果要添加或删除用户,需要先取消上述设置,待用户添加和删除后再进行上述操作。
chattr-i/etc/passwd#取消权限锁定设置 chattr-i/etc/shadow chattr-i/etc/group chattr-i/etc/gshadow chattr-i/etc/services#取消系统服务端口列表文件加锁
现在可以添加和删除用户,操作后锁定目录文件
10.修改服务器最大打开文件数
/etc/security/limits.conf *softnofile65535 *hardnofile65535
修改后断开当前连接
ulimit -n 查看
:如何配置Linux服务器云虚拟主机的基础安全设置?,https://vps.caogenba.com.com/68537.html
如今做站的人不多了,多个朋友多条路子,加入站长论坛和大佬们同道交流,Tips:可以免费打广告哦~ 点击立即加入>>