增強服務器安全等級 · 前端筆記

[TOC] # 修改服務器默認登錄端口 ~~~ sudo vi /etc/ssh/sshd_config ~~~ * 修改port 0-1024的端口一般不要使用，因為它們通常被系統占用，而且需要root用戶啟動 1024-65536的范圍都能使用 ~~~ ... Port 10086 ~~~ * 保證useDNS是no * 添加AllowUsers 用戶名 ~~~ ... #VersionAddendum none AllowUsers 用戶名 ~~~ * 重啟ssh ~~~ systemctl restart sshd ~~~ * windows 修改 ~/ssh/config 里對應的port # 禁止root用戶及密碼登陸進入 sshd_config ~~~ sudo vi /etc/ssh/sshd_config ~~~ * 修改 PermitRootLogin 為no * 修改 PasswordAuthentication 為no * 重啟ssh ~~~ systemctl restart sshd ~~~ # 配置 iptables ## 安裝 iptables centos7 默認不安裝iptables，安裝命令為 ~~~ yum install iptables-services ~~~ ## 檢查是否安裝成功 ~~~ systemctl status iptables ~~~ ![](https://box.kancloud.cn/d0d2b103d63f844b5214dd202ddf13f3_1001x83.png) 輸出結果表示已經安裝了iptables但是還沒有啟動 ## 顯示規則 ~~~ iptables -L -n ~~~ ## 修改規則文件 ~~~ vi /etc/sysconfig/iptables ~~~ ## 配置規則 **本地連接數據庫等操作也要配置相應的規則，否則無法訪問** ~~~ *filter # 允許進入的數據包只能是剛剛發出去的數據包的回應 # ESTABLISHED：已建立的鏈接狀態 # RELATED：該數據包與本機發出的數據包有關 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # allow out traffic -A OUTPUT -j ACCEPT # allow http https # 開啟以下端口訪問 -A INPUT -p tcp --dport 443 -j ACCEPT -A INPUT -p tcp --dport 80 -j ACCEPT # allow ssh port login # 允許特定端口ssh登陸（記得修改端口、取消注釋） # -A INPUT -p tcp -m state --state NEW --dport 10086 -j ACCEPT # allow ping # 允許接受icmp數據包到本地 -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # log denied calls -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7 # 將限制同一個IP一分鐘內最多建立15個連接，超出的連接會被iptables丟棄，不會到達nginx -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 150 -j DROP # reject all other inbound -A INPUT -j REJECT -A FORWARD -j REJECT COMMIT ~~~ ## 重啟iptable服務 ~~~ # service iptables restart systemctl restart iptables.service ~~~ ## 使iptable服務開機自啟： ~~~ systemctl enable iptables.service　　 ~~~ # Fail2Ban Fail2ban 能夠監控系統日志，匹配日志中的錯誤信息（使用正則表達式），執行相應的屏蔽動作（支持多種，一般為調用 iptables ），是一款很實用、強大的軟件。如：攻擊者不斷嘗試窮舉 SSH 、SMTP 、FTP 密碼等，只要達到預設值，fail2ban 就會調用防火墻屏蔽此 IP ，并且可以發送郵件通知系統管理員。 ## 安裝 ~~~ sudo yum install fail2ban ~~~ ## 修改配置 * 進入配置 ~~~ vi /etc/fail2ban/jail.conf ~~~ * 修改bantime ~~~ bantime = 3600 ~~~ * destmail改為自己郵箱 ~~~ destmail = 6666@qq.com ~~~ * 修改action ~~~ action = %(action_mw)s ~~~ ## 查看允許狀態并開啟 ~~~ systemctl status fail2ban systemctl start fail2ban ~~~