centos 中 增强web服务器安全

一.修改ssh连接的默认端口；

　　1.1　　用root 连接进入系统；

　　1.2　　修改ssh的配置文件

　　#vi /etc/ssh/sshd_config

　　在13行找到#Port 22　　(默认端口22)

　　1.3　　删除#注释，修改22为其他端口如28，然后按:wq保存文件修改；

　　1.4　　查看系统防火墙是否打开；

　　#service iptables status

 　　如果没有运行会显示 
　　　　iptables: Firewall is not running.

　　1.5　　防火墙没有运行我们就可以重启sshd服务了，(如果有请看第二点说明)；

   #service sshd restart

二、加入防火墙
　　2.1、默认是有安装iptables，如果没有就安装

　　#yum -y install iptables

　　2.2、进入防火墙配置

　　#vi /etc/sysconfig/iptables

　　2.3、添加信任端口策略
　　-A INPUT -m state --state NEW -m tcp -p tcp --dport 2289 -j ACCEPT
　　按:wq 保存并退出

　　2.4、重启iptables

　　#service iptables restart

　　2.5、如果上面1.5步骤没有操作，请重启下ssh服务

　　#service sshd restart

三、提高安全性
　　说明：为了提高SSH登陆的安全性，我们要禁用ROOT直接SSH登陆系统，只能通过普通用户登陆后再用SU来切换到ROOT账户，这样能保证系统的安全性提高，如果黑客想攻击那么他必须要知道两个用户的密码。
　　3.1、新建一个普通权限的用户并设置密码

　　#adduser paipat          //添加用户，用户名为paipat
　　#passwd paipat           //设置paipat的密码
　　Changing password for user paipat.
　　New password:            //输入密码
　　Retype new password:     //重新输入密码
　　passwd: all authentication tokens updated successfully.    //修改密码成功后

 

　　如果密码太过简单，系统会提示你重新输入密码

　　BAD PASSWORD: it is too simplistic/systematic
　　BAD PASSWORD: is too simple
　　Retype new password:

 

3.2、禁止ROOT账号SSH远程登陆

　　#vi /etc/ssh/sshd_config

将把  #PermitRootLogin yes 改为PermitRootLogin no
(记得将 # 去掉，不然不会生效的)

3.3、重启sshd服务生效

　　#service sshd restart