运维安全

1. 更改ssh 默认端口（当然如果专业要黑你，扫描下就出来了）vim /etc/ssh/sshd_config按i 添加一行 port xxx（wq 保存）

systemctl restart sshd （如果报错Job for sshd.service failed because the control process exited with error code.
See "systemctI status sshd.service" and "journalctI -xe" for detail）
原因是SELinux（Linux的一个安全子系统）拒绝了本次重启。只需临时将SELinux防火墙关闭即可：

setenforce 0

扩展：

查看端口ss -tunlp /netstat -tunlp
firewall-cmd --permanet --zone=public --add-port=xxx/tcp       防火墙添加端口
firewall-cmd --permanet --zone=public --remove-port=22/tcp   防火墙关闭端口
systemctl restart firewalld.service
firewall-cmd --list-ports(查开放所有的端口)

2.禁止root登录
useradd glpi                                                                  ----创建用户
passwd glpi (密码)                                                        ----创建用户密码
vim /etc/ssh/sshd_config
PermitRootLogin yes 改成 no（去掉#）                       ----禁止root用户远程登录

3.使用普通用户+key认证+sudo规则+IP地址+用户限制
chmod -v u+w /etc/sudoers                                          -----赋予sudoers编辑权限
visudo
glpi ALL=(ALL) ALL                                                      ----- 赋予glpi用户sudo 5分钟
%wheel ALL=(ALL) NOPASSWD: ALL
chmod -v u-w /etc/sudoers

使用hostdeny类似的防爆里破解软件（超过几次尝试直接拉黑）
筛选/etc/passwd中login的用户