>  기사  >  운영 및 유지보수  >  Linux Centos7 시스템 강화 지식 포인트 요약

Linux Centos7 시스템 강화 지식 포인트 요약

小云云
小云云원래의
2018-03-01 09:27:091880검색

이 글은 주로 LINUX에서 Centos7 시스템 강화 관련 지식 포인트를 자세하게 소개하는 글이길 바랍니다.

참고: 이 튜토리얼의 클라우드 서버는 centos7 이상을 사용합니다. 클라우드 서버는 Alibaba Cloud에서 구입했습니다.

다른 서비스 제공업체의 클라우드 서버 구성도 비슷합니다.

권장 사항: 권장되지 않습니다. 대역폭과 리소스를 차지하기 때문에 Linux 서버에 그래픽 도구를 설치하면 이점보다 피해가 훨씬 큽니다. Firewall

systemctl 활성화 Firewalld.service //부팅 시 시작

selinux 구성:

vim /etc/selinux/config

수정:


SELINUX=enforcing //적용 모드 설정
reboot //다시 시작 적용하려면

ssh 구성: (무차별 대입 크래킹 방지)

useradd 일반 //시스템 사용자를 생성하고 이 사용자만 시스템에 원격으로 로그인할 수 있도록 설정

vim /etc/ssh/sshd_config

수정:

포트 2000 //포트는 1024보다 커야 합니다

프로토콜 2 //없음 그렇다면 추가하고, 있다면 사용하지 마세요.

PermitEmptyPasswords no //빈 비밀번호 로그인 금지
X11Forwarding no //포트 포워딩 금지

PermitRootLogin no //루트 사용자 로그인 금지
MaxAuthTries 3 //3회 시도 허용

LoginGraceTime 20 //20초 이내 로그인이 완료되지 않으면 연결 해제
AllowUsers 일반 //추가, 이 사용자에게만 허용 원격으로 로그인

저장하고 종료하고 ssh를 다시 시작



service sshd restart


방화벽이 ssh 포트를 엽니다

firewall-cmd -- zone=public --add-port=2000/tcp --permanent
firewall -cmd --reload

selinux는 SSH 포트를 엽니다

yum -y installpolicycoreutils-python //selinux 포트 관리 도구 설치

semanage port - a -t ssh_port_t -p tcp 2000 //포트 추가

semanage port -l |grep ssh //selinux
service sshd restart로 열린 SSH 포트 보기


IP SPOOF 공격 방지

vim /etc/host.conf


핑을 방지하려면

nospoof on

을 추가하세요

VIM /etc/sysctl.conf

이라면 그렇지 않은 경우 수정하십시오. 그렇지 않은 경우 추가

net.ipv4.icmp_echo_ignore_all = 0

save 구성

sysctl -pleewall prohibed ping을 방지

firewall-cmd --permanent --add-rich-rule='rule 프로토콜 값=icmp drop'
firewall-cmd --reload

참고: ICMP를 허용하는 규칙을 삭제할 수도 있습니다. Alibaba Cloud 콘솔 보안 그룹 규칙의 프로토콜

10일마다 시스템 업데이트, 사용하지 않는 소프트웨어 삭제, yum 캐시 지우기

crontab -e

다음 내용은 다음과 같습니다. 수정 필요


0 0 */10 * * yum update -y

0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all

방화벽이 포트 스캔을 금지합니다(centos7은 유효하지 않습니다. 포트는 여전히 유효합니다) 스캔했는데 centos 이하에서는 적용되는지 모르겠습니다7)

iptables -F #방화벽 정책 지우기

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Drop

iptables -A INPUT -p tcp -- tcp-flags SYN,SYN --dport 80 -j Drop


Alibaba Cloud의 Cloud Shield(서버 서버)를 제거합니다. 서버는 본질적으로 메모리 집약적이므로 Cloud Shield를 제거하면 득보다 실이 많습니다

wget. http://update .aegis.aliyun.com/download/uninstall.sh

chmod +x uninstall.sh

./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh

chmod +x quartz_uninstall.sh
./quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

참고: 제거 완료 마지막으로 위의 두 스크립트 파일을 삭제할 수 있습니다. 파일을 구할 수 없다면 웹마스터에게 연락해서 요청해주세요!

Cloud Shield IP를 차단하면 Cloud Shield가 정기적으로 서버를 검사하여 해커 공격을 시뮬레이션합니다.



vim Shield_ip.sh


다음 콘텐츠를 추가하세요.

#!/bin/bash
echo "开始屏蔽云盾扫描云服务器적 IP"
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="140.205.201.0/28 " drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="140.205.201.16/29" drop'
firewall-cmd --permanent --add-rich-rule= 'rule family=ipv4 소스 주소="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="140.205.225.192/29" drop'
Firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family= ipv4 소스 주소="140.205.225.184/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="140.205.225.183/32" drop'
firewall-cmd - -permanent --add-rich-rule='rule family=ipv4 소스 주소="140.205.225.206/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소= "140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="140.205.225.195/32" drop'
firewall-cmd --permanent -- add-rich-rule='rule family=ipv4 소스 주소="140.205.225.204/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="106.11.224.0 /26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="106.11.224.64/26" drop'
firewall-cmd --permanent --add-rich- 규칙='rule family=ipv4 소스 주소="106.11.224.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="106.11.224.192/26" drop '
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="106.11.222.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="106.11.222.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="106.11.222.192/26" drop'
firewall- cmd --permanent --add-rich-rule='rule family=ipv4 소스 주소="106.11.223.0/26" drop'
firewall-cmd --reload

保存退出

chmod +x Shield_ip.sh ㅋㅋㅋ
编码设置:

vim /etc/locale.conf

删除原有,添加如下内容:

LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提示

reboot //중복生效


进入阿里云控则

security组添加ssh端口,否则外网是无法进入的,包括ftp와 apache 의 端口가 안전하지 않은 경우에는 안전하지 않습니다.

su - 루트 //提权

注의미: 여기에서云控 조절기保持 in 需要输入用户名的界面

如:현재 云控 제조사台登录(而不是xshell登录) , 退流用户登录命令

logout //exit也可以

注意:root 사용자가 才可以

最后:阿里云控 조절제–>안전(云盾)–> |法分享

centos7上elastic search안전한 검색安装详解

Centos7은 Linux에 설치되어 Mysql5.7.19의 教程(图)

에 설치되었습니다.

위 내용은 Linux Centos7 시스템 강화 지식 포인트 요약의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.