今天工作不是很忙,然后服务器还有些配置没有清理 于是乎 一生气 把公司备用的4核8G服务器磁盘重置了
重置系统
第一步 停止服务器后 点击重新初始化磁盘
输入密码及其短信验证码后即可重置 由于这段过程简单 就不在多说了
重置后 我们使用各种shell工具连接上我们的服务器如(xshell6、mac的ter都可以 大家随意选择。) 我目前使用的是Windows10 所以已xshell6为例
填写名称 (做记号)
协议选ssh(其他协议略)
端口号22(写默认的)
复制代码
然后连接
连接成功后如上图好了 现在可以搞事情了
挂在硬盘
查看可用硬盘
[root@localhost ~]# fdisk -l
复制代码
可以看到 当前我有俩块硬盘
[root@localhost ~]# df -h
复制代码
却没有挂载上 接下来
先格式化 /dev/vdb 注意 别挂格式化错 注意盘符
[root@localhost ~]# mkfs.ext4 /dev/vdb1
复制代码
新建目录并挂载
[root@linuxidc ~]# mkdir /opt
[root@linuxidc ~]# mount /dev/vdb1 /opt
复制代码
挂载完成 ヾ( ̄ー ̄)X(^▽^)ゞ
服务器安全
首先 创建账号并授权 禁止root账户直接登录
创建新用户 创建一个用户名为:admin(避免使用常用的管理员用户名比如admin,root,administrator,要满足FISMA Moderate等级要求,BootLoader superuser的密码必须和root用户不一样。这里做演示 使用admin)
[root@localhost ~]# adduser admin
复制代码
为这个用户初始化密码,linux会判断密码复杂度,不过可以强行忽略:
[root@localhost ~]# passwd admin
复制代码
当出现
Retype new password:
passwd: all authentication tokens updated successfully.
复制代码
密码设置成功
授权
个人用户的权限只可以在本home下有完整权限,其他目录要看别人授权。
而经常需要root用户的权限,这时候sudo可以化身为root来操作。
我记得我曾经sudo创建了文件,然后发现自己并没有读写权限,因为查看权限是root创建的。
新创建的用户并不能使用sudo命令,需要给他添加授权。
sudo命令的授权管理是在sudoers文件里的。查找sudoers
[root@localhost ~]# whereis sudoers
sudoers: /etc/sudoers /etc/sudoers.d /usr/libexec/sudoers.so /usr/share/man/man5/sudoers.5.gz
复制代码
找到这个文件后 一般这个文件只有只读权限 (可以使用 ls -l /etc/sudoers 来查看权限),我们给它添加w修改权限
[root@localhost ~]# chmod -v u+w /etc/sudoers
mode of "/etc/sudoers" changed from 0440 (r--r-----) to 0640 (rw-r-----)
复制代码
然后就可以给我们刚刚用户增加权限了
[root@localhost ~]# vim /etc/sudoers
复制代码
然后按键盘的下键 找到
## Allow root to run any commands anywher
root ALL=(ALL) ALL
复制代码
按 i 进行编辑 然后 增加
## Allow root to run any commands anywher
root ALL=(ALL) ALL
admin ALL=(ALL) ALL
复制代码
ESC 键退出编辑 shift+: wq 回车 保存退出
然后将sudoers的修改权限收回
[root@localhost ~]# chmod -v u-w /etc/sudoers
mode of "/etc/sudoers" changed from 0640 (rw-r-----) to 0440 (r--r-----)
复制代码
切换用户 su admin 使用sudo [admin@localhost ~]$ sudo cat /etc/passwd We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
复制代码
第一次使用会提示你,你已经化身超人,身负责任。而且需要输入密码才可以下一步。如果不想需要输入密码怎么办,将最后一个ALL修改成NOPASSWD: ALL。
sshd服务安全配置和优化
禁止root用户通过ssh登录
禁止root用户通过ssh登录,我们先找到 /etc/ssh/sshd_config文件,通过编辑器打开该文件。比如,通过vim打开该文件
# vim /etc/ssh/sshd_config
在文件中找到下面一行文字:
#PermitRootLogin no
去掉该行前面的#号,使其成为下面这样:
PermitRootLogin no
接下来,在shell中输入以下命令来重启ssh服务
# service sshd restart
这样当你再试图以root登录系统时,就会出现“拒绝访问”的错误提示信息:
login as: root
Access denied
root@172.31.41.51's password:
复制代码
刷新权限 systemctl restart sshd
那我们想登陆怎么办 用我们之前的账号啊 admin(或者你自己创建的其他账号) 即可。
注:如果你的系统中有多个用户,想允许一部分用户通过ssh登录,而其他用户则禁止通过ssh登录。可以打开文件/etc/ssh/sshd_config,然后在文件的末尾加上这样一行文字 AllowUsers user1 user2 即为允许user1、user2通过ssh登录的用户。
Port 端口号修改
使用root权限 在sshd_config文件找到
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 22
#ListenAddress 0.0.0.0
#ListenAddress ::
复制代码
将Port前#放开 修改为高阶端口 如 Port 56100
wq保存 刷新权限 systemctl restart sshd
ssh服务端口号,我们可以改成高端口,一般端口扫描工具不会扫描高端口的。