总结Centos7系统加固知识点

  

注意:此教程的云服务器以centos7以上为例,云服务器于阿里云购买

  

其他服务商的云服务器配置大同小异

  

建议:linux的服务器不建议安装图形化工具,因为占内存,占带宽,占资源,弊远大于利

  

手动更新系统:

  
  

yum - y更新      

  

防火墙配置:

  
  

服务firewalld开始//启动防火墙
  systemctl启用firewalld。服务//开机自启

     

  

selinux配置:

  
  vim/etc/selinux/config

     

  

修改:   

  

SELINUX=执行//设置强制模式
  重新启动//重启生效

     

  

ssh配置:(防暴力破解)

  
  

useradd正常//创建一个系统用户,设置只能通过这个用户远程登录系统
  vim/etc/ssh/sshd_config

     

  

修改:   

  

2000端口//端口必须大于1024
  协议2//没有的话就添加,有就不用
  PermitEmptyPasswords没有//禁止空密码登录
  X11Forwarding没有//禁止端口转发
  PermitRootLogin没有//禁止根用户登录
  MaxAuthTries 3//允许三次尝试
  LoginGraceTime 20//在20秒内不能完成登录,则断开连接
  AllowUsers正常//添加,只允许这个用户远程登录

     

  

保存退出,重启ssh

  
  服务重新启动sshd

     

  

防火墙开启ssh端口

  
  

firewall-cmd区=公共——添加一个端口=2000/tcp——永久
  firewall-cmd——重载

     

  

selinux开启ssh端口

  
  

yum - y安装policycoreutils-python//安装selinux端口管理工具
  semanage端口- a - t ssh_port_t - p tcp 2000//添加端口
  semanage港口- l | grep ssh//查看selinux开启的ssh端口
  服务重新启动sshd

     

  

防止IP欺骗攻击

  
  vim/etc/host.conf

     

  

末尾添加

  
  

nospoof下降'
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.201.16/29”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.201.32/28”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.225.192/29”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.225.200/30”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.225.184/29”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.225.183/32”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.225.206/32”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.225.205/32”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.225.195/32”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?40.205.225.204/32”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?06.11.224.0/26”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?06.11.224.64/26”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?06.11.224.128/26”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?06.11.224.192/26”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?06.11.222.64/26”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?06.11.222.128/26”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?06.11.222.192/26”下降的
  firewall-cmd——永久add-rich-rule='统治家庭=ipv4源地址=?06.11.223.0/26”下降的
  firewall-cmd——重载

     

  

保存退出

  
  

chmod + x shield_ip。sh
  。/shield_ip.sh

     

  

注意:这些IP地址段来源于阿里云官方给的云盾服务器IP, (https://help.aliyun.com/knowledge_detail/37436.html)

  

编码设置:

  
  vim/etc/locale.conf

     

总结Centos7系统加固知识点