linux之Centos7系統加固知識點小結

本文主要向大家詳細介紹了LINUX中Centos7系統加固的相關知識點，希望能幫助大家。

注意：此教學的雲端伺服器以centos7以上為例，雲端伺服器於阿里雲購買

其他服務商的雲端伺服器配置大同小異

建議： linux的伺服器不建議安裝圖形化工具，因為佔內存，佔頻寬，佔資源，弊遠大於利

手動更新系統：

yum -y update

防火牆設定：

service firewalld start //啟動防火牆
systemctl enable firewalld.service //開機自啟動

selinux設定：

vim /etc/selinux/config

已修改：

SELINUX=enforcing //設定強制模式
reboot //重啟生效

ssh配置：（防暴力破解）

useradd normal //建立一個系統用戶，設定只能透過這個用戶遠端登入系統
vim /etc/ssh/sshd_config

修改：

Port 2000 //埠必須大於1024
Protocol 2 //沒有的話就加，有就不用
PermitEmptyPasswords no //禁止空密碼登入
X11Forwarding no //禁止連接埠轉送
PermitRootLogin no //禁止root使用者登入
MaxAuthTries 3 //允許三次嘗試
LoginGraceTime 20 //在20秒內不能完成登錄，則斷開連接
AllowUsers normal //添加，只允許這個用戶遠端登入

儲存退出，重啟ssh

service sshd restart

防火牆開啟ssh埠

firewall-cmd --zone=public --add-port=2000/tcp --permanent
firewall-cmd - -reload

selinux開啟ssh埠

yum -y install policycoreutils-python //安裝selinux埠管理工具
semanage port -a -t ssh_port_t -p tcp 2000 //新增連接埠
semanage port -l |grep ssh //查看selinux開啟的ssh連接埠
service sshd restart

防止IP SPOOF攻擊

#vim /etc/host.conf

最後加上

#nospoof on

禁止被ping

vim /etc/sysctl.conf

有則修改，無則加

net.ipv4.icmp_echo_ignore_all=0

#儲存設定

sysctl -p

防火牆禁止被ping

firewall-cmd --permanent --add-rich-rule= 'rule protocol value=icmp drop'
firewall-cmd --reload

注意：也可以在阿里雲控制台的安全群組規則，刪除允許ICMP協定的規則

每十多天更新一次系統，刪除沒有用到的軟體，清除yum快取

crontab -e

以下內容按需修改

0 0 */10 * * yum update -y
0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all

防火牆禁止連接埠掃描（centos7無效，連接埠還是被掃描出來了，不知道centos7以下是否生效）

iptables -F #清除防火牆政策
iptables -A INPUT -p tcp - -tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp --tcp -flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop

卸載阿里雲的雲盾（安騎士），因為伺服器本來就記憶體緊張，雲盾弊大於利，卸載

wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./quartz_uninstall .sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

注意：卸載完成後，可以刪除以上兩個腳本檔案。如果無法wget到文件，請聯絡站長索取！

屏蔽雲盾IP，雲盾會定期掃描伺服器模擬駭客攻擊

vim shield_ip.sh

新增以下內容：

!/bin/bash
echo "開始發光雲盾掃描雲端伺服器的IP"
#firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source位址=“140.205.201.0/28”下降'
firewall-cmd --permanent --add-rich-rule='規則系列= ipv4來源位址=“140.205.201.16/29”下降'
firewall- cmd --permanent --add-rich-rule='規則系列=ipv4 來源位址="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='規則係列= ipv4來源位址=“140.205.225.192/29”drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4來源位址=“140.205.225.200/30”drop'
firewall-cmd --permanent --add-rich-rule='規則系列=ipv4來源位址=“140.205.225.184/29”drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4來源位址=“140.205.225.183/32”drop'
firewall-cmd --permanent --add-rich-rule='規則family=ipv4來源位址=“140.205.225.206/32”drop'
firewall-cmd --permanent --add-rich-rule='規則系列=ipv4 來源位址="140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule= 'rule family=ipv4 來源位址="140.205.225.195/32" drop '
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 來源位址="140.205.225.20drop/32" ipv4 來源位址="140.205.225.20drop/32" ipv4 '
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 來源位址="106.11.224.0/26" drop'
firewall-cmd --permanent --add-rich-規則='規則系列=ipv4來源位址=“106.11.224.64/26”下降'
firewall-cmd --permanent --add-rich-rule='規則系列=ipv4來源位址=“106.11.224.128/26 ” “ drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 來源位址=“106.11.224.192/26” drop'
firewall-cmd --permanent --add - rich-rule='規則系列=ipv4來源位址=“106.11.222.64/26”drop'
firewall-cmd --permanent --add-rich-rule='規則系列=ipv4來源位址=“106.11. 222.128” /26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 來源位址="106.11.222.192/26" drop'
firewall-cmd --permanent -- add-rich-rule='rule family=ipv4 source address="106.11.223.0/26" drop'
firewall-cmd --reload

##儲存退出

chmod +xshield_ip.sh
./shield_ip.sh

注意：這些IP位址部分來自阿里雲官方給的雲盾伺服器IP，來源：（https: // help.aliyun.com/knowledge_detail/37436.html）

編碼設定：

vim /etc/locale.conf

#刪除原有，加入以下內容：

##LANG=zh_CN.utf8 //中文介面

LC_MESSAGES=en_US.utf8 //中文提示

reboot //重啟生效

#進入阿里雲控制台，雲端伺服器ECS–>安全群組–>設定規則–>新增安全群組規則

安全群組新增ssh端口，否則外網路是無法進入的，包括ftp和apache的連接埠不在安全群組開放的話

下載xshell遠端登入軟體，一般使用者遠端登入linux系統，xshell的使用不再贅述，登入成功後

## su - root //提權

注意：在阿里雲端控制台遠端連線登入系統後，不能以任何使用者一直處於登入狀態，使用系統完成後，必須退出使用者登錄，介面保持保持在需要輸入使用者名稱的介面

如：在阿里雲控制台登入（不是使用者xshell登入），登出登入指令

#logout //退出也可以

注意：root用戶的話必須退出兩次才可以

最後：在阿里雲控制台–>安全（雲盾）–>設備設備–>開啟設備設備服務–>設置郵箱或短信提醒

相關推薦：

##Centos7安裝與設定Mysql5.7的方法分享

centos7上elasticsearch安裝詳解

Centos7在Linux下安裝Mysql5.7.19的教學（圖）

以上是linux之Centos7系統加固知識點小結的詳細內容。更多資訊請關注PHP中文網其他相關文章！