Grundlegende Schritte zur Sicherheitseinstellung für den CentOS7-Server

Schalten Sie den Ping-Scan aus, obwohl dies nicht hilft

Wechseln Sie zuerst zum Root

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

1 bedeutet aus

0 bedeutet ein

Verwenden von iptables

iptables -I INPUT -p icmp -j DROP

Stellen Sie kurz die grundlegenden Sicherheitseinstellungen vor

1. Erstellen Sie einen allgemeinen Benutzer, verbieten Sie die Root-Anmeldung und erlauben Sie allgemeinen Benutzern nur, mit dem Befehl su zu Root zu wechseln

Der Vorteil dabei ist der doppelte Passwortschutz. Selbst wenn ein Hacker das Passwort eines normalen Benutzers kennt, ist sein Angriff auf den Server relativ begrenzt, wenn er nicht über das Root-Passwort verfügt.

Im Folgenden sind die spezifischen Schritte aufgeführt (Sie müssen sich im Root-Zugriff befinden):

Hinzufügen eines normalen Benutzers

Benutzer hinzufügen xxx

Passwort festlegen

passwort xxx

Dadurch wird ein normaler Benutzer erstellt.

Root-Login deaktivieren

vi /etc/ssh/sshd_config

PermitRootLogin nein

Systemctl startet SSHD neu

Damit ist der erste Schritt abgeschlossen. Danach kann sich root nicht mehr beim Server anmelden und kann nur noch über den normalen Benutzer su wechseln.

2. Ändern Sie den Standardport 22 von SSH. Da der Port von SSH 22 ist, müssen sie beim Ändern des Ports etwas Zeit zum Scannen aufwenden, was den Schwierigkeitsgrad leicht erhöht.

Im Folgenden wird der Port auf 51866 geändert. Sie können ihn nach Bedarf ändern. Am besten wählen Sie einen Port zwischen 10000 und 65535.

Schritt 1 Ändern Sie /etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#Port 22 //Entfernen Sie das #-Zeichen aus dieser Zeile

Port 51866 //Fügen Sie diese Zeile unten hinzu

Warum löschen Sie nicht zuerst Port 22? Falls andere Ports nicht erfolgreich konfiguriert werden können und Port 22 gelöscht wird, können Sie den Server nicht erneut aufrufen.

Schritt 2 SELinux ändern

Installieren Sie semanage

$ yum bietet semanage
$ yum -y installiere policycoreutils-python

Verwenden Sie den folgenden Befehl, um den aktuell von SElinux zugelassenen SSH-Port anzuzeigen:

semanage port -l | grep ssh

Port 51866 zu SELinux hinzufügen

semanage port -a -t ssh_port_t -p tcp 51866

Hinweis: Wenn der Vorgang nicht erfolgreich ist, lesen Sie bitte: https://sebastianblade.com/how-to-modify-ssh-port-in-centos7/

Wenn es fehlschlägt, liegt es wahrscheinlich daran, dass Selinux nicht aktiviert ist

Bestätigen Sie dann, ob es hinzugefügt wurde

semanage port -l | grep ssh

Bei Erfolg wird ausgegeben

ssh_port_t tcp 51866, 22

Schritt 3 SSH neu starten

systemctl starte sshd.service neu

Überprüfen Sie, ob SSH auf Port 51866 lauscht

netstat -tuln

Schritt 4 Öffnen Sie Port 51866 in der Firewall

Firewall-Befehl --permanent --zone=public --add-port=51866/tcp

Firewall-Befehl --reload

Testen Sie dann, ob Sie sich über 51866 anmelden können. Wenn die Anmeldung funktioniert, war der Vorgang erfolgreich. Löschen Sie anschließend Port 22.

vi /etc/ssh/sshd_config

Port 22 wq löschen

systemctl starte sshd.service neu

Gleichzeitig schließt die Firewall auch Port 22

Firewall-Befehl --permanent --zone=public --remove-port=22/tcp

Beachten Sie, dass Sie bei Verwendung des Alibaba-Servers der Sicherheitsgruppe in Alibaba neue eingehende Regeln hinzufügen müssen (wahrscheinlich, weil der Alibaba-Server das Intranet verwendet und eine Portzuordnung erforderlich ist).

3. Verwenden Sie Software wie DenyHosts, um Brute-Force-Cracking von SSH zu verhindern (nicht im Detail vorgestellt)

Tatsächlich handelt es sich dabei um ein Python-Skript, das nach illegalen Anmeldungen sucht. Wenn die Anzahl der illegalen Anmeldungen die festgelegte Zahl überschreitet, wird die IP-Adresse automatisch zur Blacklist hinzugefügt.

4. Cloud Lock verwenden (nicht im Detail beschrieben)

Referenz: http://tim-fly.iteye.com/blog/2308234

Im Allgemeinen können durch die Durchführung der ersten beiden Schritte mindestens 50 % der Eindringversuche reduziert werden. Nach der Durchführung des dritten Schritts können mehr als 80 % der Eindringversuche grundsätzlich eliminiert werden. Das Wichtigste ist natürlich, ein Sicherheitsbewusstsein zu haben und sich mehr über Sicherheit und Linux-Kenntnisse zu informieren.

Der dritte und vierte Punkt werden kurz erwähnt. Bei Interesse können Sie einen Blick darauf werfen.