Maison >Opération et maintenance >exploitation et maintenance Linux >Résumé des points de connaissance sur le renforcement du système Linux Centos7
Cet article vous présente principalement en détail les points de connaissances pertinents sur le renforcement du système Centos7 sous LINUX. J'espère qu'il pourra vous aider.
Remarque : le serveur cloud de ce didacticiel utilise centos7 ou supérieur comme exemple. Le serveur cloud est acheté auprès d'Alibaba Cloud
Les configurations de serveur cloud d'autres fournisseurs de services sont similaires. 🎜>
Recommandations : Il n'est pas recommandé d'installer des outils graphiques sur les serveurs Linux, car ils occupent de la mémoire, de la bande passante et des ressources, et les inconvénients dépassent de loin les avantagesMettre à jour manuellement le système :
yum -y updateConfiguration du pare-feu :
service firewalld start //Démarrer le pare-feuconfiguration selinux :systemctl activer pare-feud.service //Démarrer automatiquement au démarrage
vim /etc/selinux/configModifier :
SELINUX=enforcing //Définir le mode d'applicationconfiguration ssh : (fissuration anti-force brute)reboot // Redémarrer pour prendre effet
useradd normal / /Créez un utilisateur système et définissez que vous ne pouvez vous connecter au système qu'à distance via cet utilisateurModifier :vim /etc/ssh/sshd_config
Port 2000 //Le port doit être supérieur à 1024Enregistrer et quitter, redémarrer sshProtocole 2 //Sinon, ajoutez-le, si c'est le cas, ne l'utilisez pas
PermitEmptyPasswords no //Interdire la connexion par mot de passe vide
X11Forwarding no/ /Interdire la redirection de port
PermitRootLogin no //Interdire la connexion de l'utilisateur root
MaxAuthTries 3 //Autoriser trois tentatives
LoginGraceTime 20 //En 20 Si la connexion ne peut pas être effectuée en quelques secondes, déconnectez
AllowUsers normal / /Ajouter, autoriser uniquement cet utilisateur à se connecter à distance
redémarrage du service sshdLe pare-feu ouvre ssh port
firewall-cmd --zone=public --add-port=2000/tcp --permanentselinux s'ouvre port sshfirewall-cmd - -reload
yum -y install Policycoreutils-python //Installer l'outil de gestion de port SelinuxPrévenir les attaques IP SPOOFsemanage port -a -t ssh_port_t -p tcp 2000 //Ajouter un port
semanage port -l |grep ssh //Afficher le port ssh ouvert par selinux
service sshd restart
vim /etc/host.confAjouter
nospoof surpour interdire les pings
vim /etc/sysctl.confSi oui, modifiez-le, sinon ajoutez-le
net.ipv4.icmp_echo_ignore_all=0Enregistrer la configuration
sysctl -pLe pare-feu ne peut pas être pingé
firewall-cmd --permanent --add-rich-rule= 'rule protocol value=icmp drop 'Remarque : Vous pouvez également supprimer les règles qui autorisent le protocole ICMP dans les règles du groupe de sécurité de la console Alibaba CloudMettre à jour le système tous les dix jours, supprimez les logiciels inutilisés, videz le cache yumfirewall-cmd --reload
crontab -eModifiez le contenu suivant si nécessaire
0 0 */10 * * yum update -yLe pare-feu interdit l'analyse des ports ( centos7 n'est pas valide, le port est toujours analysé, je ne sais pas s'il prend effet en dessous de centos7)0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all
iptables -F #Effacer la politique de pare-feuDésinstaller Alibaba Cloud Cloud Shield (Serveur Serveur), comme le serveur est intrinsèquement limité en mémoire, Cloud Shield fait plus de mal que de bien, désinstalleziptables -A INPUT -p tcp - -tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp -- tcp -flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop
wget http://update.aegis.aliyun.com/download/uninstall.shRemarque : Une fois la désinstallation terminée, les deux fichiers de script ci-dessus peuvent être supprimés. Si vous ne parvenez pas à récupérer le fichier, veuillez contacter le webmaster pour en faire la demande ! Bloquez l'adresse IP de Cloud Shield, Cloud Shield analysera régulièrement le serveur pour simuler des attaques de pirateschmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./ quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*
vim Shield_ip.shAjoutez le contenu suivant :
#!/bin/bash
echo "开始屏蔽云盾扫描云服务器的IP"
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source adresse="140.205.201.0/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source adresse="140.205.201.16/29" drop'
firewall- cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family= adresse source ipv4="140.205.225.192/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.184/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.183/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.206/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule= 'rule family=adresse source ipv4="140.205.225.195/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.204/32" drop '
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.0/26" drop'
firewall-cmd --permanent --add-rich- Rule='rule family=adresse source ipv4="106.11.224.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="106.11.224.128/26 " drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.192/26" drop'
firewall-cmd --permanent --add- rich-rule='rule family=adresse source ipv4="106.11.222.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="106.11.222.128 /26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.192/26" drop'
firewall-cmd --permanent -- add-rich-rule='rule family=ipv4 source address="106.11.223.0/26" drop'
firewall-cmd --reload
保存退出
chmod +x bouclier_ip.sh
./shield_ip.sh
注意:这些IP地址段来源于阿里云官方给的云盾服务器IP,来源: (https:// help.aliyun.com/knowledge_detail/37436.html)
编码设置:
vim /etc/locale.conf
删除原有,添加如下内容:
LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提示reboot //重启生效
进入阿里云控制台,云服务器ECS–>安全组–>配置规则–>添加安全组规则
安全组添加ssh端口,否则外网是无法进入的, Il s'agit d'un serveur FTP et d'Apache qui utilise xshell pour Linux normal, xshell的使用不再赘述,登录成功后
su - root //提权注意:在阿里云控制台远程连接登录系统后,不能以任何用户一直处于登录状态,使用系统完后,必须退出用户登录,界面保持在需要输入用户名的界面
如:在阿里云控制台登录(而不是xshell登录),退出用户登录命令
déconnexion //quitter也可以注意:root用户的话必须退出两次才可以
最后:云控制台–> gt;态势感知–>开启态势感知服务–>设置邮箱或短信提醒
相关推荐:
Centos7安装和配置Mysql5.7的方法分享centos7上recherche élastiqueCe qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!