安全策略
- 配置防火墙 2. 更改默认ssh 22端口 3. 禁止root登录
<!--more-->
一:配置防火墙
开启12234(把22换成任意)端口、80端口、3306端口
1:rm -rf /etc/sysconfig/iptables
2:vi /etc/sysconfig/iptables
################################ 添加好之后防火墙规则如下所示
*filter
:INPUT DROP [7:709]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12234 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80:3306 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -j ACCEPT
-I INPUT -p udp -m udp --sport 123 -j ACCEPT
-I OUTPUT -p udp -m udp --dport 123 -j ACCEPT
COMMIT
# Completed on Fri Sep 11 23:34:54 2015
###############################################
:wq保存退出, 重启防火墙使配置生效
3:/etc/init.d/iptables restart
ps注意
结果,在一次无意间,发现了ECS有一个安全组规则,可以设置进站和出站的端口
点击进去一看,果然,里面默认开启了22端口的进站规则,于是,尝试把2212端口也打开
保存之后,再用xshell连接服务器
二:更改默认ssh 22端
- vi /etc/ssh/sshd_config文件,去掉#Port 22一行开头的#号,
- 将Port 由22改为自定义的端口(比如12234),并保存该文件
-
重启sshd服务 service sshd restart
如果是debian或ubuntu系统则使用 service ssh restart
-
通过netstat -natlp 检查 ssh服务是否侦听到了新端口。
ps: 如果您开启了防火墙,您需要在防火墙上放行对应的远程端口,以免修改端口后无法远程。
三:禁止root登录
- 添加用户
useradd test passwd test
-
vi /etc/ssh/sshd_config
修改PermitRootLogin 后面的yes 为 no,并且去掉前面的注释符
-
/etc/init.d/ssh restart 或 service sshd restart,
此时再用root用户登录,如果不能登陆则代表配置成功。如果需要使用root权限,可以使用su/sudo进行切换
点击查看更多内容
3人点赞
评论
共同学习,写下你的评论
评论加载中...
作者其他优质文章
正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦