Linux服务器CentSO7.6初始化网络安全防火墙及用户组配置

已于 2024-05-23 18:07:51 修改
阅读量2.1k 收藏 33
点赞数 51
分类专栏: Linux服务器配置 文章标签: linux centos 网络安全 ssh 服务器 运维 tcp/ip
于 2024-05-02 16:41:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41684685/article/details/138392651
版权
本文详细介绍了如何配置Linux服务器的SSH端口以避免常规攻击,以及如何设置firewall以限制端口和网段,创建用户并限制权限,确保服务器安全。
摘要由CSDN通过智能技术生成

配置概览:
Linux服务器基本网络安全配置:
ssh远程登录端口及用户限制firewall配置开放端口用户权限及用户组配置

现在网络环境已今非昔比,如果服务器不进行任何安全配置,很容易受到黑客攻击,丢失数据的同时也徒增很多麻烦,很是恼人。本文总结了一些常用的网络安全、防火墙及用户组配置,可以阻隔部分黑客攻击,欢迎大家留言学习交流~记得点赞收藏!

本文共分为七章,前后没有关联,可以根据实际情况选择配置。

文章目录

一、更改常用ssh登录端口,避免常规攻击

提示:这里更改端口后,在服务器配置端,要在网络安全组中放开对应端口号,使用XShell等工具连接时,也要使用自定义的端口号!

1、编辑SSH配置文件。使用文本编辑器(如vi或nano)打开SSH配置文件:

vi /etc/ssh/sshd_config

2、找到以下行:#Port 22,删除行首的注释符号#,然后将端口号修改为您想要使用的新端口号。

在这里插入图片描述

此处补充Linux文件编辑基本操作(大佬可以跳过不看):

 - 输入 vi + 文件名,进入文件。
 - 移动光标至对应需要修改的位置,按 i 进行插入编辑,此时已经可以编辑内容,可以删除/修改/输入文本。
 - 修改完成后按 Esc 建退出编辑模式,然后键入 :wq 保存并退出,如果此时退出文件,则保存修改成功。

3、重启SSH服务。使用命令重启SSH服务,使更改生效。

sudo systemctl restart sshd

二、进行firewall防火墙设置(端口及网段限制)

——此处使用firewall配置,也可以使用iptable进行配置,但本文不做介绍,大家可以自行度娘,底层原理相同,选择其一使用即可。

下文中***标记的ip网段及ip地址,根据实际情况进行修改,可以度娘经常访问的机器ip
此处我将数据库及其他端口都进行了自定义,如:3306、6379、22等,所以都是不规则端口号,大家可以根据实际情况修改

将默认远程服务删除,开放指定端口,开放指定地址段:

  • 查看当前防火墙状态,是否开启

systemctl status firewalld

  • 如果没有开启,先开启防火墙

systemctl start firewalld

  • 查看当前开启的系统服务

firewall-cmd --list-service

  • 将ssh删除,不默认开放

firewall-cmd --remove-service=ssh --permanent

  • 增加开放端口(后续可以单独使用此命令添加服务端口映射,记得添加后reload生效

firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=3888/tcp --permanent
firewall-cmd --zone=public --add-port=6888/tcp --permanent

  • 在此进行举例,其他服务端口映射同理。以Docker容器化启动Mysql为例,可以将容器内部的3306端口映射到宿主机的3888端口。
  • Docker启动命令 -p 端口映射(宿主机端口在前,容器内部端口在后)
sudo docker run -p 3888:3306 --name mysql \
-v /home/service/mysql/logs:/logs \
-v /home/service/mysql/data:/mysql_data \
-e MYSQL_ROOT_PASSWORD=password \
--restart=always -d mysql:5.7
  • 更改映射端口后,在使用数据库管理工具、jdbc连接链接时,记得将3306改为3888。以spring的yaml配置文件为例:
spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3888/mydatebase?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=utf8&useSSL=true
  • 可以将要使用的ssh端口删除,删除开放6888端口,在规则中单独向指定ip开放(可选操作)

firewall-cmd --permanent --remove-port=6888/tcp

  • 对指定***.***.***.***网段放行,拒绝其他网段访问

firewall-cmd --zone=public --add-source=***.***.***.***/24 --permanent

  • 对指定 ***.***.***.*** ip开放6888端口,进行远程登录
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="***.***.***.***" port protocol="tcp" port="6888" accept'
  • 使设置生效

firewall-cmd --reload

  • 查看当前防火墙所有配置

firewall-cmd --list-all

  • 开启开机自动启动防火墙

systemctl enable firewalld

补充:firewall配置文件,及zones配置,可在以下路径中找到直接配置(大佬可以直接进文件配置,小白不建议修改文件,因为其中文件语法和格式一旦更改可能就失效,建议使用上面的命令方法):

/etc/firewalld/zones

三、创建用户,尽量减少root用户的直接使用

使用非root用户时,需要将自定义用户分进root组,同时执行操作时需要在命令最前加sudo

1、创建用户tom:

adduser tom

2、给用户tom设置密码:

passwd tom

3、将用户tom分组,分进root(wheel)组,root组为最高权限组,谨慎赋权!

usermod -g root tom

4、查看tom分组信息:

groups tom

四、口令文件不可修改属性修改

此处要在第三章执行后,以下文件不可修改,无法再对用户和密码进行操作。
若后期需要进行用户密码相关操作,需要再对文件权限进行放开,使用root账户执行 chattr -i +对应文件名即可
以下所有文件权限要统一,不要只修改其中几个,要改全都改,否则依然无法生效

chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限:

chattr +i /etc/passwd

chattr +i /etc/shadow

chattr +i /etc/group

chattr +i /etc/gshadow

五、限制su命令

如果不想任何人能够su作为root,可以编辑 /etc/pam.d/su 文件,将第4行和第6行注释打开:

vi /etc/pam.d/su

英文好的同学可以看到第3行和第5行注释的解释,只信任root(wheel)用户组的用户

#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
auth            sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so

六、限制root账号远程登录

此处进行修改后,只能在服务器网页端,使用服务器提供商提供的网页登录插件,来登录root操作,谨慎操作!

1、打开SSH配置文件:

sudo vi /etc/ssh/sshd_config

2、找到PermitRootLogin行,将注释打开,并将其设置为no:
PermitRootLogin no

在这里插入图片描述

3、重启SSH服务。使用命令重启SSH服务,使更改生效。

sudo systemctl restart sshd

七、指定账号远程登录

1、打开SSH配置文件:

sudo vi /etc/ssh/sshd_config

2、查找是否有AllowUsers指令,如果没有,可以添加它来指定哪些用户可以登录。
如果已经有这个指令,用空格分隔添加更多用户。(下图中ray为自定义用户名)

AllowUsers username1 username2

举例EXP:
AllowUsers ray tom

在这里插入图片描述

3、重启SSH服务。使用命令重启SSH服务,使更改生效。

sudo systemctl restart sshd

以上为所有内容,如果问题还没有得到解决,欢迎大家留言讨论交流,有帮助到你就 点个赞吧 ^.^

Arther_ZCR
关注
  • 51
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
CentOS 7.6网络配置
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
05-23 1万+
【代码】CentOS 7.6网络配置
虚拟机centos7.6网络配置NAT模式
weixin_42343146的博客
04-23 1040
本方法只针对虚拟机设置中“网络适配器”设置为的场景。
虚拟机vmnet0、vmnet1和vmnet8的区别
热门推荐
01-01 3万+
vmnet0,实际上就是一个虚拟的网桥 vmnet0,实际上就是一个虚拟的网桥,这个网桥有很若干个端口,一个端口用于连接你的Host,一个端口用于连接你的虚拟机,他们的位置是对等的,谁也不是谁的网关。所以在Bridged模式下,你可以让虚拟机成为一台和你的Host相同地位的机器。 vmnet1,这是一个Host-Only网络模式 vmnet1,这是一个Host-Only网络模式,这是用于
linux安全组配置
weixin_30487701的博客
11-25 1701
万网的是这样子配置的: 转载于:https://www.cnblogs.com/suiyisuixing/p/7894796.html
安装centos7.6配置网络连接
不知道你是通过何种途径访问到这里,总之欢迎来到red velet的博客
03-30 1516
linux安装、网络配置、远程连接
Linux-CentOS 7.6 系统初始化脚本
09-19
内容概括:禁用防火墙,修改selinux,修改yum源,安装常用软件,同步系统时间,DNS域名配置...操作:用xftp将文件导入到Linux中,chmod a+x init.sh给予脚本执行权限后./init.sh,执行脚本就可以实现虚拟机的初始化了。
Linux CentOS服务器搭建与初始化配置教程
09-15
主要为大家详细介绍了Linux CentOS服务器搭建与初始化配置教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
oracle 12c rac集群 linux7.6安装、网络配置、磁盘配置
最新发布
10-11
操作系统安装、防火墙关闭、yum配置、多路径配置及udev映射、创建用户组
Linux服务器学习-CentOS7.6下安装Percona-Server5.6
01-09
1.1.2上传安装包到Linux目录 1.创建好Mysql的安装目录 2.上传下载好的数据库文件到云服务器(这里使用的是WinSCP实现文件上传)   3.解压安装包 tar -xvf Percona-Server-5.6.24-72.2-r8d0f85b-el6-x86_64-...
服务器安装centos7.6图文步骤超详细版
10-14
- **安全加固**: 根据最佳实践,进行防火墙设置、SELinux配置以及更新系统以增强安全性。 这个详尽的指南覆盖了从设备准备到安装CentOS 7.6的全过程,确保你能够顺利地在服务器上部署这个稳定的Linux发行版。每个...
Linux篇(2)——虚拟机CentOS7.6的网络配置
qq_45896071的博客
11-27 1198
看过上一篇的朋友们会发现CentOS虽然已经安装完成,但是网络始终没有配置,也就是说现在CentOS完全是单机模式,既不能与母机连接,又不能上外网;这显然是不行的,但网络配置直接一带而过对小白不太友好,于是我打算详细的出一期网络配置的教程供大家参考学习,废话不多说,我们马上开始! 我们打开虚拟机的CentOS应该如上图所示(作者在这里调了分辨率),我们先看右上角,如果现在网络是打开的状态应该会有三个小方块的标志,但是现在是没有的,我们手动打开 此时我们看到右上角已经有了三个小方块的标志,此时我.
CentOS7.6联网设置
LOYURU的博客
08-23 2606
1、设置虚拟机 vmware点击【编辑】->【虚拟网络编辑器】,点击右下角的【更改设置】: 选择桥接到自己的网卡 虚拟机设置中选择刚才定义的网络名词 2、网络设置 vi /etc/sysconfig/network-scripts/ifcfg-ens33 修改onBoot为yes: TYPE=Ethernet PROXY_METHOD=none BROWSER_ONLY=no BOOTPROTO=dhcp DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=y
Linux操作系统常用安全设置
iteye_5722的博客
11-18 176
一 禁止系统响应任何从外部/内部来的ping操作 如果没有人能ping通机器并收到响应,那么就可以大大增强服务器的安全性。Linux可以执行如下设置,禁止ping操作。 [root@localhost ~]# echo "1">/proc/sys/net/ipv4/icmp_cho_ignore_all 禁ping命令见下截图: 默认情况下icmp_echo_ignore_al...
linux服务器安全组设置固定IP访问
weixin_45611186的博客
05-29 516
开通服务器端口的时候,最好不要给所有IP访问,容易被黑客黑,只开放给需要连接的IP访问最安全
Linux(6)-云服务器安全组和域名解析配置
程序员不鸣的博客
05-17 2210
文章目录一、基本操作二、Java配置三、Docker配置四、Nginx配置五、安全组配置六、域名配置七、Https配置 一、基本操作 二、Java配置 三、Docker配置 四、Nginx配置 五、安全组配置 六、域名配置 七、Https配置 ...
Linux 服务器必备的安全设置,建议收藏!
Java技术栈,分享最主流的Java技术
02-24 252
点击关注公众号,Java干货及时送达作者:悠悠来源:http://uusama.com/69.html好不容易买了服务器,如果因为自己的疏忽,被黑客黑掉的话,那真的是太糟糕了!下面告诉你一...
Linux操作系统安全配置(一)
Laissez_faire的博客
08-02 3514
各种基本的Linux命令来供你学习,帮你在各种Linux发行版中完成各种任务。虽然不是很详细,但是对Linux初学者,或普通用户,或管理员都是很有用的。
linux安全组配置文件,iptables的相关配置以及安全组
weixin_39989668的博客
05-12 151
前提条件:您只有在已授权可关闭 iptables 的情况下,才能做该项排查。故障现象:SSH 无法连接,关闭 iptables 后连接恢复。解决方法:调整 iptables 配置策略。查看防火墙规则:iptables -nvL –line-numberL 查看当前表的所有规则,默认查看的是 filter 表,如果要查看 NAT 表,可以加上 -t NAT 参数。n 不对 IP 地址进行反查,加上这...
linux服务器centos7.6搭建kvm虚拟机
05-02
其中,--name 参数指定虚拟机的名称,--ram 参数指定虚拟机的内存大小,--disk 参数指定虚拟机的磁盘路径和大小,--vcpus 参数指定虚拟机的 CPU 核心数,--network 参数指定虚拟机的网络配置,--graphics 参数指定...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值