阿里云Centos7.4服务器配置

今天工作不是很忙，然后服务器还有些配置没有清理 于是乎 一生气 把公司备用的4核8G服务器磁盘重置了

重置系统

第一步 停止服务器后 点击重新初始化磁盘

输入密码及其短信验证码后即可重置 由于这段过程简单 就不在多说了

重置后 我们使用各种shell工具连接上我们的服务器如（xshell6、mac的ter都可以 大家随意选择。） 我目前使用的是Windows10 所以已xshell6为例

填写名称 （做记号）
协议选ssh（其他协议略）
端口号22（写默认的）
复制代码

然后连接

连接成功后如上图

好了 现在可以搞事情了

---

挂在硬盘

查看可用硬盘

[root@localhost ~]# fdisk -l
复制代码

---

可以看到 当前我有俩块硬盘

[root@localhost ~]# df -h
复制代码

却没有挂载上 接下来 先格式化 /dev/vdb 注意 别挂格式化错 注意盘符

[root@localhost ~]# mkfs.ext4 /dev/vdb1
复制代码

新建目录并挂载

[root@linuxidc ~]# mkdir /opt
[root@linuxidc ~]# mount /dev/vdb1 /opt

复制代码

挂载完成 ヾ(￣ー￣)X(^▽^)ゞ

---

服务器安全

首先 创建账号并授权 禁止root账户直接登录

创建新用户 创建一个用户名为：admin（避免使用常用的管理员用户名比如admin，root，administrator，要满足FISMA Moderate等级要求，BootLoader superuser的密码必须和root用户不一样。这里做演示 使用admin）

[root@localhost ~]# adduser admin
复制代码

为这个用户初始化密码，linux会判断密码复杂度，不过可以强行忽略：

[root@localhost ~]# passwd admin
复制代码

当出现

Retype new password: 
passwd: all authentication tokens updated successfully.
复制代码

密码设置成功

---

授权

个人用户的权限只可以在本home下有完整权限，其他目录要看别人授权。

而经常需要root用户的权限，这时候sudo可以化身为root来操作。

我记得我曾经sudo创建了文件，然后发现自己并没有读写权限，因为查看权限是root创建的。

新创建的用户并不能使用sudo命令，需要给他添加授权。

sudo命令的授权管理是在sudoers文件里的。查找sudoers

[root@localhost ~]# whereis sudoers
sudoers: /etc/sudoers /etc/sudoers.d /usr/libexec/sudoers.so /usr/share/man/man5/sudoers.5.gz
复制代码

找到这个文件后 一般这个文件只有只读权限 （可以使用 ls -l /etc/sudoers 来查看权限），我们给它添加w修改权限

[root@localhost ~]# chmod -v u+w /etc/sudoers
 mode of "/etc/sudoers" changed from 0440 (r--r-----) to 0640 (rw-r-----)
复制代码

然后就可以给我们刚刚用户增加权限了

[root@localhost ~]# vim /etc/sudoers
复制代码

然后按键盘的下键 找到

## Allow root to run any commands anywher  
root    ALL=(ALL)       ALL  
复制代码

按 i 进行编辑 然后 增加

## Allow root to run any commands anywher  
root    ALL=(ALL)       ALL  
admin    ALL=(ALL)       ALL 
复制代码

ESC 键退出编辑 shift+: wq 回车 保存退出

然后将sudoers的修改权限收回

[root@localhost ~]# chmod -v u-w /etc/sudoers
mode of "/etc/sudoers" changed from 0640 (rw-r-----) to 0440 (r--r-----)
复制代码

切换用户 su admin 使用sudo [admin@localhost ~]$ sudo cat /etc/passwd We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
复制代码

第一次使用会提示你，你已经化身超人，身负责任。而且需要输入密码才可以下一步。如果不想需要输入密码怎么办，将最后一个ALL修改成NOPASSWD: ALL。

sshd服务安全配置和优化

禁止root用户通过ssh登录

禁止root用户通过ssh登录，我们先找到 /etc/ssh/sshd_config文件，通过编辑器打开该文件。比如，通过vim打开该文件

 #      vim /etc/ssh/sshd_config
        在文件中找到下面一行文字：
        #PermitRootLogin no
        去掉该行前面的#号，使其成为下面这样：
        PermitRootLogin no
        接下来，在shell中输入以下命令来重启ssh服务
        # service sshd restart
        这样当你再试图以root登录系统时，就会出现“拒绝访问”的错误提示信息：
        login as: root
        Access denied
        root@172.31.41.51's password:
复制代码

刷新权限 systemctl restart sshd

那我们想登陆怎么办 用我们之前的账号啊 admin（或者你自己创建的其他账号） 即可。

注：如果你的系统中有多个用户，想允许一部分用户通过ssh登录，而其他用户则禁止通过ssh登录。可以打开文件/etc/ssh/sshd_config，然后在文件的末尾加上这样一行文字 AllowUsers user1 user2 即为允许user1、user2通过ssh登录的用户。

Port 端口号修改

使用root权限 在sshd_config文件找到

# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 22
#ListenAddress 0.0.0.0
#ListenAddress ::

复制代码

将Port前#放开 修改为高阶端口 如 Port 56100

wq保存 刷新权限 systemctl restart sshd

ssh服务端口号，我们可以改成高端口，一般端口扫描工具不会扫描高端口的。