CentOS 7加强安全性:

CentOS 7加强安全性:
1. 更改 root 密码
****************************************************************************************************
2. 新增一个普通帐号
adduser
passwd
****************************************************************************************************
3. 禁止root使用ssh登入,改变ssh端口

(临时关闭selinux,系统默认不可以修改port)
getenforce  && setenforce 0  && getenforce 

以此方式关闭的selinux,在系统重启后,selinux会重新开启,阻止root & 新用户ssh login.
需要再次关闭的selinux,新用户才可以用 新port login。

(修改端口號,禁止root用ssh)
vi /etc/ssh/sshd_config
#PermitRootLogin yes  修改为  PermitRootLogin no
#Port 22              修改为  Port 10837(改为任何 1024 – 65535 之间的任何数字)
保存退出

(重啟sshd服務)
systemctl restart sshd.service

(开放firewall port10837)
复制 firewalld 有关 sshd 的设定档案:
cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
vi /etc/firewalld/services/ssh.xml
<port protocol="tcp" port="22"/>   修改为   <port protocol="tcp" port="10837"/>
保存退出

(重新装载firewall)
firewall-cmd --reload
****************************************************************************************************
永久关闭selinux:
# vim /etc/sysconfig/selinux
SELINUX=enforcing 改为 SELINUX=disabled


修改防火墙port命令 :firewall-cmd --zone=public --add-port=10837/tcp --permanent
****************************************************************************************************
5. 启用公钥验证登入 ssh

现在只有普通帐号才能透过 ssh 登入服务器,但是 ssh 提供一个更先进更安全的验证方法:公钥验证法。

首先每一名用户建立一对加密钥匙(密钥和公钥),密钥储存在日常使用的电脑,公钥则储存在服务器,使用 ssh联系到服务器的时候,电脑会把一些建立连线请求的资料,其中包括帐号名称和公钥,并且把部分资料用密钥制作数码签署,一股脑儿送到服务器,服务器检查自己的“公钥库”是否包含送来的公钥,有的话再验证数码签署,成功的话便直接登入服务器,无需输入帐号密码。

第一步在日常使用的电脑上使用 ssh-keygen 指令建立一对加密钥匙,它会询问储存加密钥匙的档案名称,和把钥匙加密的密码,档案名称使用默认的路径和名称便可以,密码则无需输入:

这个指令会创造两个档案,一个名为 id_rsa,是你的 RSA 密钥,另一个是 id_rsa.pub,是你的 RSA 公钥。公钥必需上传到服务器并且附加于用户帐号里面的 .ssh/authorized_keys 档案中,这个档案储存所有可透过 ssh 登入到这一个帐号的公钥,一行一条公钥:

顺便一提,这个档案的存取权限必须是 0700,否则 sshd 不会读取:

使用公钥验证法登入 ssh 又省力又安全,因为我们不用输入密码,自然也没有密码被盗取的忧虑,简简单单地输入连线指令便可以了。

但是存放在日常电脑中的密钥却带来新的安全隐患,万一密钥被盗取了,其他人岂不是可以随便登入服务器?现在是“双重验证”(two-factor authentication) 隆重登场的时候,双重验证的理念是我们必须向服务器证明两种不同性质的东西,才能成功验证身分,第一样是我们知道什么,第二样是我们拥有什么。首先服务器会要求我们输入密码,我们知道密码,过了第一关。跟着服务器要求我们证明拥有公钥验证法中的密钥,透过上面的设定程序我们也通过了验证,过了第二关。现在服务器才会让我们进入系统。

设定 ssh 的双重验证法很简单,使用 vim  (或任何文本编辑器) 开启 /etc/ssh/sshd_config,在档案的末端假如这一行:

1

AuthenticationMethods publickey,password

它告诉服务器用户必须拥有合法的公钥,和输入正确的密码才能成功登入。修改完成后重新启动 sshd:

1

systemctl restart sshd.service

完成后不要登出系统,使用另一个视窗尝试登入,测试无误便可进行下一步。
****************************************************************************************************
6. 更新、更新、每天更新、每天自动更新

每一天都有成千上万的黑客在世界各地寻找 Linux 系统和常见软件的安全漏洞,一有发现便会发动规模庞大而迅速的网络攻击,务求在我们来得及反应前把系统攻陷。不要以为黑客都只是十来岁的年轻小毛头,大部分黑客背后都有势力庞大、资源几乎无限的国家机构支持,有些甚至属于这些机构的雇员,美国的 NSA,英国的 GQHC,中国的无名黑客队伍,都是比较明目张胆由国家支持的网络黑帮,可见我们的系统时时刻刻都被凶狠之徒盯着,保持软件在最新的状态是其中一项我们必须做,也很容易做到的工作。

首先我们立即手动更新所有预先安装的软件:

yum -y update

跟着设定系统定时自动更新,第一步确定服务器是否安装了自动执行指令的工具,跟着使用 yum 一个名叫 yum-cron插件。

CentOS 7 使用数个软件来自动执行指令:cron、anacron、at 和 batch,其中 cron 和 anacron 用来定期重复执行指令,At 和 batch 则用来在特定时间执行一次性的指令。我们将会使用 cron 和 anacron,两者的分别这里不细表了,将来有机会再讨论,现在使用以下指令安装 cron 和 anacron:

yum -y install cronie

下一步就是安装 yum-cron:

yum -y install yum-cron

其实你可以使用一个指令同时安装 cronie 和 yum-cron,甚至单独安装 yum-cron 也可以,因为 yum 会自动检测到yum-cron 需要 cronie 然后自动替你安装,上面分开两个指令纯粹令大家容易明白。

完成后系统多了数个档案,比较重要的包括:

    /etc/cron.daily/0yum.cron
    Anacron 每天执行这个档案一次,它根据配置档案 /etc/yum/yum-cron.conf 来更新软件
    /etc/yum/yum-cron.conf
    这是每天执行 yum-cron 的配置档案,默认只会下载更新的软件,并不安装,用意是让管理员检视 yum-cron的输出,选取需要更新的软件进行手动安装。

跟着我们修改配置档案,让 yum-cron 自动更新软件,使用 vim  (或任何文本编辑器) 开启 /etc/yum/yum-cron.conf,寻找:

apply_updates = no

修改为:

apply_updates = yes

确认一下 update_messages = yes, download_updates = yes, apply_updates = yes,正如下图:

最后,启动 crond 和 yum-cron:

systemctl start crond

systemctl start yum-cron
****************************************************************************************************
7. 防火墙

防火墙的作用好比网络警察,它监察所有进出系统的 IP 封包,哪些端口容许封包进入,哪些端口容许封包外出等等,都由防火墙控制,保护使用这些端口的应用程式,所以设定防火墙是极重要的工作。

过滤封包功能的 netfilter 已经内建在 CentOS 7 的内核,但是配置 netfilter 的界面程式 firewalld 却未必有安装,不论是否已经安装,都可以执行下面的安装指令:


yum install firewalld

跟着查看一下防火墙现在开启了哪些服务和端口:


firewall-cmd --list-all

上图可见防火墙只开启了 DHCP 客户端和 ssh 两个服务的通讯端口,倘若日后安装了其他网络软件,例如网站服务器、域名服务器等等,必须要检查安装程式有否开启他们的通讯端口,没有的话便要手动开启。如果好像前面第四点那样使用了非常规的通讯端口,也可能要手动配置防火墙,

posted @ 2017-06-01 17:31  k98091518  阅读(676)  评论(0编辑  收藏  举报