Linux 服務器必備的安全設置,建議收藏!

好不容易買了服務器,如果因爲自己的疏忽,被黑客黑掉的話,那真的是太糟糕了!

下面告訴你一些簡單的方法提高服務器的安全係數,我的雲服務器就是這麼配置的,雖然有些麻煩,但是感覺安心一些。

修改 ssh 登陸配置

打開 ssh 配置文件

vim /etc/ssh/sshd_config

#修改以下幾項
Port 10000
#更改SSH端口,最好改爲10000以上,別人掃描到端口的機率也會下降。防火牆要開放配置好的端口號,如果是阿里雲服務器,你還需要去阿里雲後臺配置開發相應的端口才可以,否則登不上哦!如果你覺得麻煩,可以不用改
 
Protocol 2
#禁用版本1協議, 因爲其設計缺陷, 很容易使密碼被黑掉。
 
PermitRootLogin no
#嘗試任何情況先都不允許 Root 登錄. 生效後我們就不能直接以root的方式登錄了,我們需要用一個普通的帳號來登錄,然後用su來切換到root帳號,注意 su和su - 是有一點小小區別的。關鍵在於環境變量的不同,su -的環境變量更全面。
 
PermitEmptyPasswords no
#禁止空密碼登陸。

最後需要重啓 sshd 服務

service sshd restart

禁止系統響應任何從外部/內部來的ping請求

echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all

其默認值爲 0

用戶管理

下面是基本的用戶管理命令

查看用戶列表:cat /etc/passwd
查看組列表:cat /etc/group
查看當前登陸用戶:who
查看用戶登陸歷史記錄:last

一般需要刪除系統默認的不必要的用戶和組,避免被別人用來爆破:

userdel sync
userdel shutdown
# 需要刪除的多餘用戶共有:sync shutdown halt uucp operator games gopher
groupdel adm
groupdel games
# 需要刪除的多餘用戶組共有:adm lp games dip

Linux中的帳號和口令是依據 /etc/passwd 、/etc/shadow、 /etc/group 、/etc/gshadow 這四個文檔的,所以需要更改其權限提高安全性:

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

如果還原,把 +i 改成 -i ,再執行一下上面四條命令。

注:i屬性:不允許對這個文件進行修改,刪除或重命名,設定連結也無法寫入或新增數據!只有 root 才能設定這個屬性。

創建新用戶

創建新用戶命令:adduser username

更改用戶密碼名:passwd username

個人用戶的權限只可以在本home下有完整權限,其他目錄要看別人授權。而經常需要root用戶的權限,這時候sudo可以化身爲root來操作。我記得我曾經sudo創建了文件,然後發現自己並沒有讀寫權限,因爲查看權限是root創建的。

sudoers 只有只讀的權限,如果想要修改的話,需要先添加w權限:chmod -v u+w /etc/sudoers 然後就可以添加內容了,在下面的一行下追加新增的用戶:wq保存退出,這時候要記得將寫權限收回:chmod -v u-w /etc/sudoers

賦予root權限

方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的註釋(#)去掉

## Allows people in group wheel to run all commands
# 去掉下面一句的前面的註釋 # 
%wheel ALL=(ALL) ALL
# 然後修改用戶,使其屬於root組(wheel),命令如下:
# usermod -g root uusama

修改完畢,現在可以用uusama帳號登錄,然後用命令 su – ,即可獲得root權限進行操作。

方法二(推薦):修改 /etc/sudoers 文件,找到下面一行,在root下面添加一行,如下所示:

## Allow root to run any commands anywhere
root ALL=(ALL) ALL
uusama ALL=(ALL) ALL

修改完畢,現在可以用uusama帳號登錄,然後用命令 sudo -s ,即可獲得root權限進行操作。

方法三:修改 /etc/passwd 文件,找到如下行,把用戶ID修改爲 0 ,如下所示:

uusama:x:500:500:tommy:/home/uusama:/bin/bash
# 修改後如下
uusama:x:0:500:tommy:/home/uusama:/bin/bash

保存,用uusama賬戶登錄後,直接獲取的就是root帳號的權限。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章