本文提供了一系列服务器安全增强措施,包括禁止root远程登录、自定义SSH端口、禁止ping访问、增加敏感文件权限控制、停用不必要的服务以及慎重开放应用端口。
以下是几个操作建议:
禁止root远程登录,自定义ssh端口
- 首先创建一个普通用户, 支持远程ssh登录
- 修改/etc/ssh/sshd_config, 比如
Port 12345
PermitRootLogin no- 重启ssh服务:
service sshd restart禁止ping访问
编辑/etc/sysctl.conf, 加入
net.ipv4.icmp_echo_ignore_all=1运行如下命令刷新配置:
sysctl -p这时候远程ping就失效了, 这样可以躲避一些攻击。
对敏感文件增加权限控制
- 对/var/log下的日志文件,创建专属用户组及访问权限
cd /var/log
groupadd logs
chgrp -R logs .
find /var/log -type d -exec chmod 750 {} \;
find /var/log -type f -exec chmod 640 {} \;- 对一些初始化内核程序文件设限,如:
chmod -R 700 /etc/rc.d/init.d/*这样只能由root来读写、执行该目录下的文件。
停用不必要的服务
禁用如ftp, telnet等不安全的连接方式, ftp用sftp代替等。
慎重开放应用端口
比如redis, 如果使用默认6379端口和免密码连接, 基本就免不了被hack的命运。尤其是redis是以root方式运行时,服务器就能被轻松攻陷。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
