本文提供了一系列服务器安全增强措施,包括关闭不必要的端口和服务、更改SSH端口、删除冗余账户、限制账户权限等,帮助提高服务器的安全性。
1、用防火墙关闭不须要的任何端口,别人PING不到服务器,威胁自然减少了一大半。
防止别人ping的方法:
1)命令提示符下打
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2)用防火墙禁止(或丢弃) icmp 包
iptables -A INPUT -p icmp -j DROP
先用/sbin/ifconfig查看网卡信息,找到外网网卡名字,如eth0
运行
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -icmp-type echo-request -j DROP
service iptables save
3)对所有用ICMP通讯的包不予响应
比如PING TRACERT
2、更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降
vi /etc/ssh/sshd_config
将PORT改为1000以上端口
同时,创建一个普通登录用户,并取消直接root登录
useradd newuser
passwd newuser
usermod -G 10 newuser
或
usermod -G wheel newuser
//将用户加入wheel组,允许使用 su - 命令提权成root
vi /etc/ssh/sshd_config
在最后添加如下一句:
PermitRootLogin no
#取消root直接远程登录
vi /etc/pam.d/su
#auth required pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
echo 'SU_WHEEL_ONLY yes' >> /etc/login.defs //以上为禁止不在wheel组的用户使用su -命令
重启sshd服务
service sshd restart
3、删除系统臃肿多余的账号:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp
如果你不允许匿名FTP,就删掉这个用户帐号
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
4、更改下列文件权限,使任何人没有更改账户权限:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
5、chmod 600 /etc/xinetd.conf
vi /etc/xinetd.conf 禁止所有不需要的服务,如:ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth等等,也可以直接通过setup命令来设置服务项。
改变了“xinetd.conf”文件之后,别忘了给inetd进程发一个SIGHUP信号:
killall -HUP xinetd
chattr +i /etc/xinetd.conf //把inetd.conf设成不可改变,如果要改变xinetd.conf文件,你必须先清除这个不允许改变的标志:
chattr -i /etc/inetd.conf
multi on #允许主机拥有多个IP地址
防止别人ping的方法:
1)命令提示符下打
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2)用防火墙禁止(或丢弃) icmp 包
iptables -A INPUT -p icmp -j DROP
先用/sbin/ifconfig查看网卡信息,找到外网网卡名字,如eth0
运行
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -icmp-type echo-request -j DROP
service iptables save
3)对所有用ICMP通讯的包不予响应
比如PING TRACERT
2、更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降
vi /etc/ssh/sshd_config
将PORT改为1000以上端口
同时,创建一个普通登录用户,并取消直接root登录
useradd newuser
passwd newuser
usermod -G 10 newuser
或
usermod -G wheel newuser
//将用户加入wheel组,允许使用 su - 命令提权成root
vi /etc/ssh/sshd_config
在最后添加如下一句:
PermitRootLogin no
#取消root直接远程登录
vi /etc/pam.d/su
#auth required pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
echo 'SU_WHEEL_ONLY yes' >> /etc/login.defs //以上为禁止不在wheel组的用户使用su -命令
重启sshd服务
service sshd restart
3、删除系统臃肿多余的账号:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp
如果你不允许匿名FTP,就删掉这个用户帐号
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
4、更改下列文件权限,使任何人没有更改账户权限:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
5、chmod 600 /etc/xinetd.conf
vi /etc/xinetd.conf 禁止所有不需要的服务,如:ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth等等,也可以直接通过setup命令来设置服务项。
改变了“xinetd.conf”文件之后,别忘了给inetd进程发一个SIGHUP信号:
killall -HUP xinetd
chattr +i /etc/xinetd.conf //把inetd.conf设成不可改变,如果要改变xinetd.conf文件,你必须先清除这个不允许改变的标志:
chattr -i /etc/inetd.conf
6、防止IP欺骗
编辑“host.conf”文件(vi /etc/host.conf)加入下面这些行:
order bind,hosts #名称解释顺序multi on #允许主机拥有多个IP地址
nospoof on #禁止IP地址欺骗
7、登录超时
用户在线5分钟无操作则超时断开连接,在/etc/profile中添加:
export TMOUT=300
readonly TMOUT
扫一扫
768
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
