linux服务器 云虚拟主机基础安全设置

日常工作中有很多人会问,我买了阿里云的主机 买了腾讯 百度 的虚拟云主机,是不是就什么都不用做,直接用就行。这里说明一点,不是的主机提供商只是提供最基础的安全防护,担着不包括对你业务的防护,最基础的包括流量清洗  抗ddos攻击  系统级别漏洞检测(0day) 端口映射等功能,但是对于服务器本身的安全还是需要你自己设置的。

购买一台云主机,ok  它就是一台裸机 ,相当于新安装了一台服务器,那么需要做什么呢,我们一一列举一下:

1.修改远程管理ssh默认端口修改/etc/ssh/sshd_config

#port 22  修改为
port 10022  ##(端口可以根据自己需要设置)

重启ssh服务

2.添加user用户 禁止root直接登录

useradd user   ##添加登录用户设置相应密码

修改/etc/ssh/sshd_config

#PermitRootLogin yes 修改为

PermitRootLogin no

重启ssh服务

3.开启IPtables设置规则只开放22 80 443等必须的端口,

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
 
/sbin/iptables -A INPUT -i lo -j ACCEPT 
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT    ###这里ssh的端口要跟之前修改的对起来否则连不上哦
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 内网地址可添加 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -P INPUT DROP

4.关闭selinux,开着这个东西麻烦多多,建议关闭

vi /etc/selinux/config 
修改SELINUX=enforcing 为
SELINUX=disabled

重启系统生效

5.关闭系统不需要的服务

centos7 查看开机启动服务 systemctl list-unit-files|grep enabled

根据自己需求关闭

6.服务器禁止ping,根据自己需要设置是否禁ping

iptables -I INPUT -i eth0 -p icmp -s 0/0 -d 0/0 -j DROP

7.禁止非root用户执行/etc/rc.d/init.d/下的系统命令

chmod -R 700 /etc/rc.d/init.d/*
chmod -R 777 /etc/rc.d/init.d/*    #恢复默认设置

8.对用户和口令文件进行权限控制

chmod 600 /etc/passwd
chmod 600 /etc/shadow
chmod 600 /etc/group
chmod 600 /etc/gshadow

9.给下面的文件加上不可更改属性,从而防止非授权用户获得权限

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services    #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务
lsattr  /etc/passwd   /etc/shadow  /etc/group  /etc/gshadow   /etc/services   #显示文件的属性
注意:执行以上权限修改之后,就无法添加删除用户了。
如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作
chattr -i /etc/passwd     #取消权限锁定设置
chattr -i /etc/shadow
chattr -i /etc/group
chattr -i /etc/gshadow
chattr -i /etc/services   #取消系统服务端口列表文件加锁
现在可以进行添加删除用户了,操作完之后再锁定目录文件

10修改服务器最大文件打开数

/etc/security/limits.conf

* soft nofile 65535
* hard nofile 65535

修改完断开当前连接

ulimit -n 查看

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏运维小白

Linux基础(day 34)

10.15 iptables filter表案例 iptables常用知识回顾点 iptables -I/-A/-D 后紧跟 链 ,可以是INPUT,OUTPU...

1786
来自专栏北京马哥教育

iptables防火墙原理知多少?

1. netfilter与iptables Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安...

2916
来自专栏容器云生态

Linux安全之iptables详解

基本上,依据防火墙管理的范围,我们可以将防火墙区分为网域型与单一主机型的控管。在单一主机型的控管方面, 主要的防火墙有封包过滤型的 Netfilter 与依据...

2865
来自专栏Laoqi's Linux运维专列

日常运维管理(三)

一、网络相关 : yum install -y net-tools #ifconfig -a :查看全部的网卡信息 在centOS 7 中,我们使用的网卡为en...

3775
来自专栏Netkiller

Linux 系统安全与优化配置

Linux 系统安全与优化配置 Linux 系统安全问题 ---- 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验...

3234
来自专栏Linux运维学习之路

iptables网络安全服务详细使用

iptables防火墙概念说明 开源的基于数据包过滤的网络安全策略控制工具。 centos6.9  --- 默认防火墙工具软件iptables centos7 ...

2375
来自专栏北京马哥教育

神技能 | 手把手教您把CentOS7服务器变成上网路由器

网络拓扑图及说明 说明 服务器通过静态IP上网,外网连接eth0口,IP为200.0.0.2;eth1口连接内网交换机,内网网段为192.168.10.1/24...

4157
来自专栏L宝宝聊IT

Linux防火墙基础与编写防火墙规则

2927
来自专栏L宝宝聊IT

linux编写iptables防火墙规则示例

1953
来自专栏JetpropelledSnake

Linux学习笔记之Linux最小化安装启动后如何配置

在VM虚拟机中安装CentOS 7 时 有时候顾虑到电脑硬件性能,我们需要最小化安装,而最小化安装后与centos6的版本是有一些差异的,接下来我们就对刚安装好...

2963

扫码关注云+社区