鱼C论坛

 找回密码
 立即注册
查看: 3601|回复: 7

[技术交流] 安装完linux后 简单制作一些安全设置

[复制链接]
发表于 2012-11-30 10:21:16 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x
平时我们安装完CentOS后,很多人直接安装lnmp一键包或yumapache去安装环境了,而忽略了最简单的一些基础安全设置,虽然很多人说linux做服务器安全性高于windows,但是请不要忽略了一些常规安全设置。今天为大家介...    平时我们安装完CentOS后,很多人直接安装lnmp一键包或yumapache去安装环境了,而忽略了最简单的一些基础安全设置,虽然很多人说linux做服务器安全性高于windows,但是请不要忽略了一些常规安全设置。今天为大家介绍一下安装完系统我们做的一些简单的工作


1.配置网卡连接上网 我就不介绍了,这是必须的。
2.如果是国内的,可以先将yum源修改为 163 或sohu的,这样更新速度会比较快些  然后更新一下系统
cd /etc/yum.repos.d #进入配置目录mkdir bak #建立一个备份目录mv *.repo bakwget http://mirrors.163.com/.help/CentOS-Base-163.repo# 导入证书,这里是64位的rpm --import http://mirrors.163.com/centos/5/os/x86_64/RPM-GPG-KEY-CentOS-5# 生效(不更新内核和发行版)yum makecacheyum --exclude="kernel* centos-release*" update -y退回root目录cd ~
3.删除一些默认的用户及用户组,将不常用的删除,毕竟账户越多越不安全userdel admuserdel lpuserdel syncuserdel shutdownuserdel haltuserdel newsuserdel uucpuserdel operatoruserdel gamesuserdel gopheruserdel ftpgroupdel admgroupdel lpgroupdel newsgroupdel uucpgroupdel gamesgroupdel dipgroupdel pppusers
4.创建一个普通用户,用来登陆ssh,而拒绝root用户直接远程登陆,确保远程安全useradd memory  #memory为用户名 根据自己习惯来passwd memory #设置一个密码 可以复杂点 用来远程连接用的
然后来配置一下新添加账号的一些权限 ,只能基本的远程登陆sed -i "s/#auth           required        pam_wheel.so use_uid/auth            required        pam_wheel.so use_uid group=wheel/" /etc/pam.d/suusermod -G10 memory更改特殊文件属性chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadow# 禁止Ctrl+Alt+Delete重启命令sed -i -e "s/\(^ca\:\:ctrlaltdel.*$\)/#\1/" /etc/inittab
5.配置一下SSH的相关,禁止root远程登陆,修改下ssh默认端口
先备份下SSH配置文件

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
将默认22端口建议修改到1000以上
sed -i "s/#Port 22/Port 9999/" /etc/ssh/sshd_config
不允许root用户直接登录

sed -i "s/#PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config
不允许空密码登录

sed -i "s/#PermitEmptyPasswords no/PermitEmptyPasswords no/" /etc/ssh/sshd_configsed -i "s/#MaxAuthTries 6/MaxAuthTries 6/" /etc/ssh/sshd_config
6.配置一下 iptables 规则
先清空现有规则


iptables -Fiptables -Xiptables -Ziptables -A INPUT -p tcp -m multiport --dport 9999,80 -j ACCEPTiptables -I INPUT 2 -i lo -p all -j ACCEPTiptables -A OUTPUT -p udp --dport 53 -j ACCEPTiptables -A INPUT -p udp --sport 53 -j ACCEPTiptables -A INPUT -p udp --dport 53 -j ACCEPTiptables -A OUTPUT -p udp --sport 53 -j ACCEPTiptables -A INPUT -p tcp -m multiport --sport 80 -j ACCEPT
上面9999为你自己的ssh端口,必须的哟 不然你重启ssh后 小心连接不上了.
重启一下iptables/etc/init.d/iptables save  #保存配置/etc/init.d/iptables restart  #重启  start 启动 stop 停止
重启一下ssh 用新的账号登陆吧.  记得端口9999了哟.
登陆后若要操作root的相关权限  直接su root 切换成root账号即可


以上方法在 TTVPS 的CentOS系统6.3  32位 64位测试通过。
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2012-12-1 07:44:38 | 显示全部楼层
学习了!!!!
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2013-4-2 04:41:33 | 显示全部楼层
已经用上了,哈哈。:lol
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2013-4-2 06:21:35 | 显示全部楼层
课外阅读不错
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2013-4-17 14:32:22 | 显示全部楼层
我的得设置一下了
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2014-3-1 20:53:15 | 显示全部楼层
学习了!!!
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2014-9-11 18:02:38 | 显示全部楼层
排版。。。。。。
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复

使用道具 举报

发表于 2014-9-13 17:00:49 | 显示全部楼层
嗯... 我只是个人感觉啊...如果怕不安全,直接生成个KEY,连密码都不用输入了.
直接KEY验证登录
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2024-12-23 05:51

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表