服务器（ECS）的安全策略

安全策略

1. 配置防火墙 2. 更改默认ssh 22端口 3. 禁止root登录

<!--more-->

一：配置防火墙

开启12234（把22换成任意）端口、80端口、3306端口

1：rm -rf /etc/sysconfig/iptables

2：vi /etc/sysconfig/iptables

################################ 添加好之后防火墙规则如下所示
*filter
:INPUT DROP [7:709]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12234 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80:3306 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -j ACCEPT
-I INPUT -p udp -m udp --sport 123 -j ACCEPT
-I OUTPUT -p udp -m udp --dport 123 -j ACCEPT
COMMIT
# Completed on Fri Sep 11 23:34:54 2015
###############################################
:wq保存退出, 重启防火墙使配置生效

3：/etc/init.d/iptables restart
ps注意

结果，在一次无意间，发现了ECS有一个安全组规则，可以设置进站和出站的端口

点击进去一看，果然，里面默认开启了22端口的进站规则，于是，尝试把2212端口也打开

保存之后，再用xshell连接服务器

二：更改默认ssh 22端

1. vi /etc/ssh/sshd_config文件，去掉#Port 22一行开头的#号，
2. 将Port 由22改为自定义的端口（比如12234），并保存该文件

3. 重启sshd服务 service sshd restart

   如果是debian或ubuntu系统则使用 service ssh restart

4. 通过netstat -natlp 检查 ssh服务是否侦听到了新端口。

   ps: 如果您开启了防火墙，您需要在防火墙上放行对应的远程端口，以免修改端口后无法远程。

三：禁止root登录

1. 添加用户

   useradd test
   passwd  test

2. vi /etc/ssh/sshd_config

   修改PermitRootLogin 后面的yes 为 no,并且去掉前面的注释符

3. /etc/init.d/ssh restart 或 service sshd restart,

   此时再用root用户登录，如果不能登陆则代表配置成功。如果需要使用root权限，可以使用su/sudo进行切换