Configuración básica de seguridad del sistema VPS de Linux tutorial básico

Aunque los sistemas Linux son más seguros que Windows
, también son necesarias algunas configuraciones de seguridad simples. Existen muchas herramientas en Internet que utilizan un diccionario para escanear la contraseña de administrador. Podemos crear algunos problemas y aumentar la posibilidad de ser descifrados.

Hoy, compartiré parte de la experiencia con la configuración de seguridad del sistema VPS de Linux.

Primero, la configuración de seguridad de los derechos de usuario

los permisos de root son demasiado altos, el mal uso es bastante peligroso, por lo que la operación diaria usa una cuenta normal, solo use su para cambiar a la identidad de root.

1, crea un nuevo usuario, como chendexin

useradd chendexin

2, cambia la contraseña, como root123

passwd root123

3 Agregue la cuenta al grupo de ruedas

usermod -G wheel chendexin

4. Configure solo las cuentas de este grupo. Utilice el comando su para cambiar a la raíz de

vim /etc /pam .d /su

Buscar #auth requiere pam_wheel.so use_uid

Elimine el comentario # al principio de la línea y luego use: wq para guardar y salir de

seguido de vim /etc /login. Defs

Agregue SU_WHEEL_ONLY yes al final, luego use wq para guardar y salir.

Ps: Ejecute echo " SU_WHEEL_ONLY yes " > > /etc/login.defs.

Ahora, si crea una nueva cuenta normal, no puede usar el comando su para cambiar al grupo raíz. Puede probar el efecto si está interesado.

5. Elimine usuarios y grupos de usuarios innecesarios

Desactive todas las cuentas predeterminadas que inicie OS
en sí mismo y que sean innecesarias. Cuantas más cuentas, el sistema Cuanto más vulnerable es atacar.

userdel adm

userdel lp

userdel sync

userdel shutdown

userdel halt

userdel noticias

userdel uucp

userdel operator

userdel games

userdel gopher

userdel ftp

groupdel lp

groupdel news

groupdel uucp

groupdel games

groupdel dip

groupdel pppusers

6, bloquear archivo de contraseña

Ejecute el comando chattr para agregar atributos inalterables a los siguientes archivos para evitar que usuarios no autorizados obtengan acceso.
BASICchattr + i /etc /passwdchattr + i /etc /shadowchattr + i /etc /groupchattr + i /etc /gshadow

Segundo, configuración de seguridad SSH (modificar el puerto SSH)

SSH predeterminado Con 22 puertos, es bien conocido, por lo que necesitamos personalizar el número de puerto que solo conocemos, y aumentar la dificultad de los puertos de escaneo maliciosos. Se recomienda cambiar el puerto SSH a más de 10000. Por ejemplo, use 23212, modifíquelo de la siguiente manera:

Ps: antes de modificar, ejecute iptables -nL para confirmar que el firewall no establece reglas de restricción de acceso no 22 /80. De lo contrario, puede causar una tragedia después de usar la conexión de puerto personalizada después de la modificación.

vim /etc /ssh /sshd_config Edite el archivo de configuración de SSH

01, encuentre #Port 22, elimine ## y agregue el Puerto 23212 a continuación (conserve 22 puertos primero, espere a que 23212 se conecte correctamente) Luego elimine 22, prácticas de seguro)

02, continúe encontrando #UseDNS sí, cambie a UseDNS no, puede mejorar la velocidad de conexión de ssh;

03, busque #PermitRootLogin Sí cambie a PermitRootLogin no Root Remote use ssh login

04, busque #PermitEmptyPasswords no, elimine ##, desactive la contraseña vacía login

Finalmente, use: wq para guardar y salir, luego ejecute el servicio sshd restart para reiniciar el servicio ssh Eficaz

En este punto, puede abrir un nuevo terminal y probar si puede conectarse a través del puerto 23212. Si puede, elimine el puerto 22 previamente reservado.

Tres, configuración de seguridad simple del firewall

VPS utiliza directamente la IP de la red pública, el firewall aún debe configurarse.

La siguiente planificación es la siguiente:

Solo se usa como un servidor web, por lo que solo necesita abrir SSH y el puerto HTTP, es decir, siempre que los puertos 23212 y 80 definidos anteriormente estén abiertos, ya que ftp no se usa, este No se menciona ningún número de puerto 21. En el ejemplo, preste atención al uso real.

1, trabajo de preparación

Debido a que la operación del firewall tiene un cierto riesgo de operación incorrecta, es probable que se bloquee, por lo que primero debe configurar un firewall antes de operar la firewall. Programe tareas, como:

Ejecutar crontab -e Join:
BASIC * /5 * * * * root /etc/init.d/iptables stop

significa detener el firewall cada 5 minutos, La prevención de las operaciones incorrectas lo mantiene fuera del camino, incluso si hay una operación incorrecta, se detendrá en 5 minutos y no causará una tragedia. ¡Esta es una habilidad!

2, secuencia de comandos de configuración del servidor de seguridad

El siguiente código es mi propia prueba, no dude en usar, descripción de la política:

01, solo abra HTTP (80) y SSH (automáticamente Tome el puerto, el otro se negará el acceso! Puede agregar otros puertos en la línea 10 según las necesidades reales, como el puerto FTP 21 y el puerto smtp25.

02, configuración de ping prohibida en un solo sentido, es decir, la IP externa no puede hacer ping a la IP de su red pública.

Código de estrategia:
BASIC #! /bin /bashssh_port = `netstat -nutlp