linux服务器安全增强(ssh和iptables)

最新推荐文章于 2023-01-29 21:37:55 发布
最新推荐文章于 2023-01-29 21:37:55 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: linux 文章标签: linux 服务器安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cracker_zhou/article/details/50392594
版权

其实在大学里就一直想做一个服务器运维人员,可惜机遇不巧现在做的是C++开发。终于某一天当我用lastb查看到那么多的对root密码猜解失败记录时意识到我们服务器的安全性确实很差,因为不确定是否有某人进来过所以干脆重装系统从头来。(用的阿里云ECS)
一键编译安装dropbear脚本地址(http://download.csdn.net/detail/cracker_zhou/9417041
一键编译安装python脚本地址(http://download.csdn.net/detail/cracker_zhou/9417051
1.禁止root用户的ssh登陆,更改ssh默认端口
之前一直使用root用户登陆,确实方便。但是确实也很容易出问题,于是首先第一件事就是新建一个账户。

    useradd -m test #添加用户,并自动创建家目录
    echo "test" | passwd --stdin test #设置密码

修改/etc/sudoers文件在root ALL=(ALL) ALL下面添加一行test ALL=(ALL) ALL(这里的test要换成你刚刚新建的用户名)

新建完账户后,下面就要开始配置ssh了。下面讲述一下 /etc/ssh/sshd_config中比较重要的几个选项:(其他选项还在学习中)
Port 22          # 监听端口,建议改别的
Protocol 2,1        # SSH 协议版本
PermitRootLogin no     # 是否允许 root 登入
PasswordAuthentication yes # 密码验证当然是需要的!
PermitEmptyPasswords no #不解释,不允许空密码登陆
RSAAuthentication yes #是否启用RSA验证
PubkeyAuthentication yes  #如果需要用ssh key登陆,则开,只有Protocol 2支持
AuthorizedKeysFile .ssh/authorized_keys # pub key的位置
KeepAlive yes #开启长连接,否则客户端隔一点时间不操作就会被服务器强制断开
ClientAliveInterval 60 #每隔60s服务器向客户端发送一次心跳包
ClientAliveCountMax 3 #如果服务器向客户端发送的心跳包丢失3次则断开此次连接

2.升级openssh
可以通过 ssh -V 命令查看一下当前OpenSSH和OpenSSL的版本,截止笔者写这篇文章时OpenSSH的最新版本是6.7p1,OpenSSL的最新版本是OpenSSL 1.1.0 Alpha1,如果版本太低就升级吧。
因为笔者是通过ssh连接到ecs服务器,想想如果openssh被玩坏了岂不是只能恢复系统了?所以在升级openssh之前推荐先装一个替代产品dropbear(一个嵌入式轻量级的shh客户端工具),万一openssh玩坏了还能从dropbear进来。
dropbear的编译安装很简单啊(一键安装脚本):

    yum install -y gcc zlib*
    wget http://matt.ucc.asn.au/dropbear/dropbear-2015.71.tar.bz2
    tar -jxvf dropbear-2015.71.tar.bz2
    cd dropbear-2015.71
    ./configure
    make && make install
    if [ ! -d "/etc/dropbear" ]; then
            mkdir /etc/dropbear
    fi
    /usr/local/bin/dropbearkey -t dss -f  
    /etc/dropbear/dropbear_dss_host_key
    /usr/local/bin/dropbearkey -t rsa -s 4096 -f 
    /etc/dropbear/dropbear_rsa_host_key
    /usr/local/sbin/dropbear -p 2222

最后可以通过netstat -antup命令检查一下dropbear是否正确的使用了2222端口。

装完dropbear下面开始编译安装openssl。

    #卸载原有openssl
    rpm -e `rpm -qa | grep openssl` --allmatches --nodeps
    wget http://www.openssl.org/source/openssl-1.1.0-pre1.tar.gz
    tar -zxvf openssl-1.1.0-pre1
    ./config --prefix=/usr --shared
    make && make install

更新玩openssl之后可以通过openssl version -a命令查看当然openssl版本。(后来看了一下openssl文件夹中的config文件,还是蛮有意思的,因为正常的编译都是./configure,原来config比configure多了一个guess operation的功能)
下面开始编译安装openssh。

    yum -y install gcc* make perl pam pam-devel openssl openssl-devel
    wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-6.7p1.tar.gz
    tar -zxvf openssh-6.7p1.tar.gz && cd openssh-6.7p1
    ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords
    make
    rpm -e `rpm -qa | grep openssh`
    make install
    cp contrib/redhat/sshd.init /etc/init.d/sshd
    chkconfig --add sshd

通过ssh -V检查openssh版本是否成功升级。
最后通过service sshd reload重启sshd服务(之前记得看下/etc/ssh/sshd_config配置文件)。
如果最后openssh安装没有问题,就可以把dropbear卸载删除了。
首先ps -ef |grep dropbear查看进程,然后kill掉。最后删除文件。
rm -rf /etc/dropbear/ /usr/local/sbin/dropbear /usr/local/bin/dropbear*

3.配置防火墙
1)iptables有两个可执行文件,分别是/sbin/iptables和/etc/init.d/iptables。前者用于更改规则,后者用于查看保存规则。
miaoshu
2.iptables默认有三张表,分别是filter,nat,mangle,最常用的是filter表。在filter表中有三条规则链,分别是INPUT(处理进入的包)、FORWARD(处理通过的包)和OUTPUT(处理从本地出去的包)。所以一个包只会走其中一个链。一个链上可以有多条规则,过滤时规则是由上而下依次判断(有顺序的),所以之后在用/sbin/iptables添加规则时会有一个-I(插到链表开始)和-A(接在链表尾巴)两种区别,而且某条规则匹配后便不再继续向后匹配。
常用语法:
/sbin/iptables -L # 显示所有规则
/sbin/iptables -F # 删除所有规则
/sbin/iptables -A INPUT -i lo -j ACCEPT #允许本地回环
/sbin/iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT #对于已连接请求是不会block的
/sbin/iptables -A INPUT -p icmp -m icmp –icmp-type 8 -j DROP #防ping
/sbin/iptables -A INPUT -p tcp -m multiport –dports 80,443 -m tcp –tcp-flags FIN,SYN,RST,ACK SYN -m recent –rcheck –seconds 60 –hitcount 10 –name webpool –rsource -j LOG –log-prefix “DDOS:” –log-ip-options #一分钟内新请求个数不超过10个,否则记录
/sbin/iptables -A INPUT -p tcp -m multiport –dports 80,443 -m tcp –tcp-flags FIN,SYN,RST,ACK SYN -m recent –rcheck –seconds 60 –hitcount 10 –name webpool –rsource -j DROP ##一分钟内新请求个数不超过10个,否则block
/sbin/iptables -A INPUT -p tcp -m multiport –dports 80,443 -m tcp –tcp-flags FIN,SYN,RST,ACK SYN -m recent –set –name webpool –rsource -j ACCEPT #记录每次的新请求
需要注意的是以上改动是立即生效的,也就是当你设置22端口的规则为REJECT时你的putty会立即会被断开连接,但是这些规则没有写入文件,所以下次服务重启后便不会生效。这时候可以调用/etc/init.d/iptables save ,刚才配置的规则将被写入 /etc/sysconfig/iptables文件中。
感谢那些扫root弱口令的大大,让我学到了这么多的知识。当然,这还不够,good good study,day day up!

cracker_zhou
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置Linux服务器SSH 安全访问的四个小技巧
01-10
我以 CentOS 为例,简单地总结一下如何配置 SSH 安全访问。 Linux SSH 安全策略一:...丢弃 icmp 包可在 iptables 中, 加入下面这样一条: 代码如下: -A INPUT -p icmp -j DROP Linux SSH 安全策略二:更改 SSH 端口
阿里云linux服务器上使用iptables设置安全策略的方法
01-20
前两种云服务器安全策略这块做的比较好,提供简单明了的配置界面,而且给了默认的安全策略,反观阿里云服务器安全策略需要自己去配置,甚至centos机器上都没有预装iptables(起码我们申请两台上都没有),算好...
嵌入式Linux开发环境构建下的SSH 服务器遇到的问题
薇儿安蓝
01-14 298
1、 ssh连不上linux主机,提示“The host xxxx is unreachable”解决方法 按以下步骤进行排查: 用“service iptables stop”关闭防火墙。 用“service sshd status”查看ssh服务是否已启动。 /etc/ssh/sshd_config里看看有没有明确禁止一个账户,或明确允许你要远程的账户。 DenyUsers root All...
linux 如何增强安全性_安全增强Linux
culh2177的博客
07-31 288
linux 如何增强安全性Operating system security is (or at least should be) of critical importance to us all. However, the varying levels of security required differ for each systems administrator. 操作系统安全对我们所...
Linux简单命令之服务控制和安全开关
qq_50929489的博客
09-19 2579
Linux简单命令之服务控制和安全开关
设置iptables允许ssh、http、ftp服务
志远的博客
10-29 1万+
系统环境:centos-6.5 服务器:thinkserver 1、设置21,22,80端口INPUT链和OUTPUT链配置,设置INPUT、FORWORD、OUTPUT链为DROP iptables -I INPUT -d 10.79.32.22 -p tcp -m multiport --destination-ports 21,22,80 -m state --state NE
服务器安全iptables iptables
linuxlsq的博客
09-21 3418
服务器安全iptables 感谢老男孩老师为我们讲解iptables  优化之路 iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低
Linux防火墙iptables入门教程
01-10
几乎所有的Linux发行版都预装了iptables。在Ubuntu/Debian中更新/安装iptables的命令为: 代码如下:sudo apt-get install iptables现有的一些图形界面软件也可以替代iptables,如Firestarter。但iptables用起来并不...
Linux服务器基本安全策略详解
11-12
所以,为了避免被扫描到,除了必要的端口,例如 Web、FTP、SSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样别人 Ping 不到你的服务器,威胁就自然减小大半了。...
CentOS服务器iptables配置简单教程
01-10
iptablesLinux服务器重要的网络安全防范系统工具,考虑到多数服务器有专门的团队托管,服务器管理员多数时间只能通过SSH进行远程管理,在安全允许的情况下,保证SSH的合法联通,需要做如下的配置。 iptables -P...
Iptables安全
07-26
防火墙安全
iptables需求:开启防火墙:可以正常使用ssh服务,dns服务, httpd服务,chrony服务, nfs服务安装
weixin_59181877的博客
01-29 949
添加规则:ssh服务端口22,dns服务53,httpd服务80,chrony服务123,nfs服务111。允许协议访问:ssh,http,dns,chrony,nfs服务。测试 访问虚拟主机端口为1000和80的http页面。关闭firewalld,开启iptables。关闭iptables,开启firewalld。转发端口,永久生效,需要重新加载。
启动ssh服务时,提示Could not load host key: /etc/ssh/ssh_host_rsa_key
HYHOLINE的专栏
03-16 8万+
在启用 ssh 服务时,有时会看到如下提示: root@bt:~# /etc/init.d/ssh start * Starting OpenBSD Secure Shell server sshd                                    Could not load host key: /etc/ssh/ssh_host_rsa_key Coul
linux系统中iptables、fireword、selinux、hosts.allow 、hosts.deny、sshsshd安全访问区别和联系
weixin_43084715的博客
06-21 1318
linux系统中iptables、fireword、selinux、hosts.allow 、hosts.deny、sshsshd安全访问区别和联系
linux系统下修改SSH端口及iptables设置方法
pdw2009的专栏
07-21 1万+
说明: 修改SSH的端口很大程度上能杜绝被黑客扫描,增加系统的安全系数,最近有客户修改完端口没有设置防火墙开启修改后的端口导致修改后链接不上VPS,下面教大家安全修改并在iptables里开启相应的端口: 实现: 1.修改SSH配置文件:/etc/ssh/sshd_config #找到Port 22,这里是标识默认使用22端口,修改为: Port 22 Port 1234 /e
iptables的规则ssh登录限制
yeah
11-04 9595
iptables -N TELNET_LIMIT -m state –state NEW ,这个是TCP包的状态,匹配TCP包状态为NEW,类似状态还有ESTABLISHED等 iptables -P INPUT ACCEPT iptables -A SSH_LIMIT -s 10.7.100.146 -j RETURN iptables -F SSH_LIMIT
SSH Iptables访问控制
weixin_34354173的博客
09-23 1166
方法一:在/etc/hosts.allow中添加允许ssh登陆的ip或者网段 sshd:192.168.1.2:allow 或者sshd:192.168.1.0/24:allow在/etc/hosts.deny添加不允许ssh登陆的IPsshd:ALL #ALL表示除了上面允许的,其他的ip 都拒绝登陆ssh方法二:使用iptables。 ip...
Linux系统安全防火墙篇之 IPTABLES
热门推荐
高飞的博客
12-15 31万+
防火墙的定义 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的...
linux防火墙允许dns服务,安全iptables防火墙配置(只开通SSH,WEB,DNS服务)
最新发布
06-03
好的,以下是一份基于 iptables安全防火墙配置规则,仅允许 SSH、WEB 和 DNS 服务通过: ```bash # 清空所有规则链中的规则 iptables -F # 允许回环接口 lo 的所有流量通过 iptables -A INPUT -i lo -j ACCEPT ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值