centos7 服務器基本的安全設置步驟

關(guān)閉ping掃描，雖然沒什么卵用

在達州等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務理念，為客戶提供成都網(wǎng)站設計、成都網(wǎng)站建設、外貿(mào)網(wǎng)站建設 網(wǎng)站設計制作按需網(wǎng)站策劃,公司網(wǎng)站建設,企業(yè)網(wǎng)站建設,品牌網(wǎng)站制作,營銷型網(wǎng)站,外貿(mào)網(wǎng)站制作,達州網(wǎng)站建設費用合理。

先切換到root

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

1代表關(guān)閉

0代表開啟

用iptables

iptables -I INPUT -p icmp -j DROP

簡單介紹下基本的 dedecms _aq/' target='_blank'安全設置

一、創(chuàng)建普通用戶，禁止root登錄，只允許普通用戶使用su命令切換到root

這樣做的好處是雙重密碼保護，黑客就算知道了普通用戶的密碼，如果沒有root密碼，對服務器上攻擊也比較有限

以下是具體做法(需要在root下)

添加普通用戶

useradd xxx

設置密碼

passwd xxx

這樣就創(chuàng)建好了一個普通用戶

禁止root登錄

vi /etc/ssh/sshd_config

PermitRootLogin no

Systemctl restart sshd

這樣就完成了第一步，之后root就無法登錄服務器只能通過普通用戶su切換

二、修改ssh的默認端口22，因為ssh的端口是22，我們?nèi)绻薷牧嗽摱丝冢麄兙托枰ㄙM一點時間來掃描，稍微增加了點難度

以下將端口改為51866可以根據(jù)需要自己更改，最好選擇10000-65535內(nèi)的端口

step1 修改/etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#Port 22 //這行去掉#號

Port 51866 //下面添加這一行

為什么不先刪除22，以防其他端口沒配置成功，而又把22的刪除了，無法再次進入服務器

step2 修改SELinux

安裝semanage

$ yum provides semanage

$ yum -y install policycoreutils-python

使用以下命令查看當前SElinux 允許的ssh端口：

semanage port -l | grep ssh

添加51866端口到 SELinux

semanage port -a -t ssh_port_t -p tcp 51866

注：操作不成功，可以參考：

失敗了話應該是selinux沒有打開

然后確認一下是否添加進去

semanage port -l | grep ssh

如果成功會輸出

ssh_port_t tcp 51866, 22

step3 重啟ssh

systemctl restart sshd.service

查看下ssh是否監(jiān)聽51866端口

netstat -tuln

Step4 防火墻開放51866端口

firewall-cmd --permanent --zone=public --add-port=51866/tcp

firewall-cmd --reload

然后測試試試，能不能通過51866登錄，若能登錄進來，說明成功，接著刪除22端口

vi /etc/ssh/sshd_config

刪除22端口 wq

systemctl restart sshd.service

同時防火墻也關(guān)閉22端口

firewall-cmd --permanent --zone=public --remove-port=22/tcp

注意如果是使用阿里的服務器需要到阿里里面的安全組添加新的入站規(guī)則(應該是因為阿里的服務器是用的內(nèi)網(wǎng)，需要做端口映射)

三、使用一些類似DenyHosts預防SSH暴力破解的軟件(不詳細介紹)

其實就是一個python腳本，查看非法的登錄，次數(shù)超過設置的次數(shù)自動將ip加入黑名單。

四、使用云鎖(不詳細介紹)

參考自

總的來說做好了前兩步能夠減少至少百分之五十的入侵，在做好第三步之后，基本可以杜絕百分之八十以上的入侵。當然最重要的還是自己要有安全意識，要多學習一些安全知識和linux的知識。

第三第四其中都有稍微提到一點，感興趣可以看看

阿里云服務器ECS怎樣添加安全組規(guī)則

打開，控制臺，找到服務器實例，神卓云盾，打開最后面有個，目錄，安全組就在哪里面，

云服務器（阿里云）的安全組設置

安全組 是一個ECS的重要安全設置，但對小白用戶來說卻很難理解其中晦澀難懂的專業(yè)術(shù)語。websoft9在此介紹個人的理解：

阿里云官方解釋 ：安全組是一種虛擬防火墻，用于設置單臺或多臺云服務器的網(wǎng)絡訪問控制，它是重要的網(wǎng)絡安全隔離手段，用于在云端劃分安全域。每個實例至少屬于一個安全組，在創(chuàng)建的時候就需要指定。

注解：簡單理解：服務器什么端口（服務）可以被訪問，什么端口可以被封鎖

例子：服務器80端口是用來提供http服務，如果服務器部署了網(wǎng)站，而沒有開放80端口，這個網(wǎng)站肯定訪問不了，http: //ip 是打不開的。

這是很常見的問題，用戶第一感覺就是購買的服務器有問題或購買的鏡像用不了。

遠程連接（SSH）Linux 實例和遠程桌面連接 Windows 實例可能會失敗。

遠程 ping 該安全組下的 ECS 實例的公網(wǎng) IP 和內(nèi)網(wǎng) IP 可能會失敗。

HTTP 訪問該安全組下的 ECS 實例暴漏的 Web 服務可能會失敗。

該安全組下 ECS 實例可能無法通過內(nèi)網(wǎng)訪問同地域（或者同 VPC）下的其他安全組下的 ECS 實例。

該安全組下 ECS 實例可能無法通過內(nèi)網(wǎng)訪問同地域下（或者同 VPC）的其他云服務。

該安全組下 ECS 實例可能無法訪問 Internet 服務。

當用戶購買一個新的服務器的時候，阿里云會提醒選擇安全組，對于一部分入門用戶來說，第一感覺就是選擇一個等級比較高的安全組，這樣更為保險。實際上，等級越高，開放的端口越少。甚至連80端口、21端口都被封鎖了，導致服務器ping不通、http打不開。這樣最常見的訪問都無法進行，用戶第一感覺就是購買的服務器有問題或購買的鏡像用不了。

在Websoft9客服工作中統(tǒng)計發(fā)現(xiàn)，96%的用戶瀏覽器http://公網(wǎng)IP 打不開首頁，都是因為安全組的設置關(guān)閉了80端口所導致。

第一，找到對應的實例，通過安全組配置選項進入設置。

第二，點擊“配置規(guī)則”，進入安全組規(guī)則設置。