Maison >Opération et maintenance >exploitation et maintenance Linux >Résumé des points de connaissance sur le renforcement du système Linux Centos7

Résumé des points de connaissance sur le renforcement du système Linux Centos7

小云云
小云云original
2018-03-01 09:27:091910parcourir

Cet article vous présente principalement en détail les points de connaissances pertinents sur le renforcement du système Centos7 sous LINUX. J'espère qu'il pourra vous aider.

Remarque : le serveur cloud de ce didacticiel utilise centos7 ou supérieur comme exemple. Le serveur cloud est acheté auprès d'Alibaba Cloud

Les configurations de serveur cloud d'autres fournisseurs de services sont similaires. 🎜>

Recommandations : Il n'est pas recommandé d'installer des outils graphiques sur les serveurs Linux, car ils occupent de la mémoire, de la bande passante et des ressources, et les inconvénients dépassent de loin les avantages

Mettre à jour manuellement le système :

yum -y update

Configuration du pare-feu :

service firewalld start //Démarrer le pare-feu

systemctl activer pare-feud.service //Démarrer automatiquement au démarrage

configuration selinux :

vim /etc/selinux/config

Modifier :

SELINUX=enforcing //Définir le mode d'application

reboot // Redémarrer pour prendre effet

configuration ssh : (fissuration anti-force brute)

useradd normal / /Créez un utilisateur système et définissez que vous ne pouvez vous connecter au système qu'à distance via cet utilisateur

vim /etc/ssh/sshd_config

Modifier :

Port 2000 //Le port doit être supérieur à 1024

Protocole 2 //Sinon, ajoutez-le, si c'est le cas, ne l'utilisez pas
PermitEmptyPasswords no //Interdire la connexion par mot de passe vide
X11Forwarding no/ /Interdire la redirection de port
PermitRootLogin no //Interdire la connexion de l'utilisateur root
MaxAuthTries 3 //Autoriser trois tentatives
LoginGraceTime 20 //En 20 Si la connexion ne peut pas être effectuée en quelques secondes, déconnectez
AllowUsers normal / /Ajouter, autoriser uniquement cet utilisateur à se connecter à distance

Enregistrer et quitter, redémarrer ssh

redémarrage du service sshd

Le pare-feu ouvre ssh port

firewall-cmd --zone=public --add-port=2000/tcp --permanent

firewall-cmd - -reload

selinux s'ouvre port ssh

yum -y install Policycoreutils-python //Installer l'outil de gestion de port Selinux

semanage port -a -t ssh_port_t -p tcp 2000 //Ajouter un port
semanage port -l |grep ssh //Afficher le port ssh ouvert par selinux
service sshd restart

Prévenir les attaques IP SPOOF

vim /etc/host.conf

Ajouter

nospoof sur

pour interdire les pings

vim /etc/sysctl.conf

Si oui, modifiez-le, sinon ajoutez-le

net.ipv4.icmp_echo_ignore_all=0

Enregistrer la configuration

sysctl -p

Le pare-feu ne peut pas être pingé

firewall-cmd --permanent --add-rich-rule= 'rule protocol value=icmp drop '

firewall-cmd --reload

Remarque : Vous pouvez également supprimer les règles qui autorisent le protocole ICMP dans les règles du groupe de sécurité de la console Alibaba Cloud

Mettre à jour le système tous les dix jours, supprimez les logiciels inutilisés, videz le cache yum

crontab -e

Modifiez le contenu suivant si nécessaire

0 0 */10 * * yum update -y

0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all

Le pare-feu interdit l'analyse des ports ( centos7 n'est pas valide, le port est toujours analysé, je ne sais pas s'il prend effet en dessous de centos7)

iptables -F #Effacer la politique de pare-feu

iptables -A INPUT -p tcp - -tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp -- tcp -flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop

Désinstaller Alibaba Cloud Cloud Shield (Serveur Serveur), comme le serveur est intrinsèquement limité en mémoire, Cloud Shield fait plus de mal que de bien, désinstallez

wget http://update.aegis.aliyun.com/download/uninstall.sh

chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./ quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

Remarque : Une fois la désinstallation terminée, les deux fichiers de script ci-dessus peuvent être supprimés. Si vous ne parvenez pas à récupérer le fichier, veuillez contacter le webmaster pour en faire la demande !

Bloquez l'adresse IP de Cloud Shield, Cloud Shield analysera régulièrement le serveur pour simuler des attaques de pirates

vim Shield_ip.sh

Ajoutez le contenu suivant :

#!/bin/bash
echo "开始屏蔽云盾扫描云服务器的IP"
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source adresse="140.205.201.0/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source adresse="140.205.201.16/29" drop'
firewall- cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family= adresse source ipv4="140.205.225.192/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.184/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.183/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.206/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule= 'rule family=adresse source ipv4="140.205.225.195/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="140.205.225.204/32" drop '
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.0/26" drop'
firewall-cmd --permanent --add-rich- Rule='rule family=adresse source ipv4="106.11.224.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="106.11.224.128/26 " drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.192/26" drop'
firewall-cmd --permanent --add- rich-rule='rule family=adresse source ipv4="106.11.222.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=adresse source ipv4="106.11.222.128 /26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.192/26" drop'
firewall-cmd --permanent -- add-rich-rule='rule family=ipv4 source address="106.11.223.0/26" drop'
firewall-cmd --reload

保存退出

chmod +x bouclier_ip.sh
./shield_ip.sh

注意:这些IP地址段来源于阿里云官方给的云盾服务器IP,来源: (https:// help.aliyun.com/knowledge_detail/37436.html)

编码设置:

vim /etc/locale.conf

删除原有,添加如下内容:

LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提示

reboot //重启生效

进入阿里云控制台,云服务器ECS–>安全组–>配置规则–>添加安全组规则

安全组添加ssh端口,否则外网是无法进入的, Il s'agit d'un serveur FTP et d'Apache qui utilise xshell pour Linux normal, xshell的使用不再赘述,登录成功后

su - root //提权

注意:在阿里云控制台远程连接登录系统后,不能以任何用户一直处于登录状态,使用系统完后,必须退出用户登录,界面保持在需要输入用户名的界面

如:在阿里云控制台登录(而不是xshell登录),退出用户登录命令

déconnexion //quitter也可以

注意:root用户的话必须退出两次才可以

最后:云控制台–> gt;态势感知–>开启态势感知服务–>设置邮箱或短信提醒

相关推荐:

Centos7安装和配置Mysql5.7的方法分享

centos7上recherche élastique

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn