项目防火墙配置安全策略Centos7 linux命令(含sshd端口修改、添加防火墙白名单、指定端口访问源等)

最新推荐文章于 2024-07-10 10:54:49 发布
最新推荐文章于 2024-07-10 10:54:49 发布
阅读量3k 收藏 4
点赞数 4
分类专栏: 学习笔记 文章标签: 防火墙 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42209368/article/details/112188177
版权

背景: 一般为提升项目部署服务的安全性,避免客户对产品漏扫造成不必要的麻烦,对外项目部署时必须开启防火墙。

  1. 服务器SSHD默认22端口修改为其他自定义端口(自定义端口设置时尽量向后定义);

a)    执行 vim /etc/ssh/sshd_config

b)    修改#Prot 22 为 Prot xxxx;:wq保存并退出。

c)    执行 /etc/init.d/sshd restart 重启sshd服务

d)    测试:使用ssh工具连接该端口

2. 开启防火墙并设置开机自启防火墙;

[root@xdja ~]systemctl start firewalld.service  #开启防火墙
[root@xdja ~]systemctl enable firewalld.service  #设置开机自启防火墙

 3. 将所有业务服务端口、服务器SSHD端口添加防火墙白名单;

例: 将8080端口加到白名单

[root@xdja ~] firewall-cmd --permanent --add-port=8080/tcp  #8080端口加到白名单
[root@xdja ~] firewall-cmd --reload   #生效规则
[root@xdja ~] firewall-cmd --list-ports   #查看防火墙端口白名单
[root@xdja ~] firewall-cmd --zone=public --remove-port=8080/tcp –permanent  #删除白名单

 执行:


 4. 配置rich-rule规则实现部分端口的访问ip控制。例如常用的mysql服务如果非仅本机访问需要设置访问机器IP,如涉及主从同步,需额外增加从数据库IP访问。

例指定192.168.241.10/32能访问mysql 3306端口:

[root@xdja ~] firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.241.10/32" port protocol="tcp" port="3306" accept"   #指定访问
[root@xdja ~] firewall-cmd --reload   #生效规则
[root@xdja ~] firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.241.10/32" port protocol="tcp" port="3306" accept"  #删除访问源控制

执行 


补充:

firewalld的基本使用

  • 启动: systemctl start firewalld
  • 查看状态: systemctl status firewalld  ||  systemctl status firewalld.service || firewall-cmd --state
  • 停止: systemctl disable firewalld
  • 禁用: systemctl stop firewalld

  • 使用防火墙策略限制访问必须保证firewalld.service服务是正常运行的。

 

新年新气象,2021冲冲冲!!!

 

java小蓝-
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CentOS7系统安全加固策略
大千世界的博客
07-24 1595
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间 参数:PASS_MAX_DAYS 90 执行命令为root:chage --maxdays 90 root 设置密码修改最小间隔时间,限制密码更改过于频繁 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7...
Linux服务器配置ip白名单防止远程登录以及端口暴露的问题
01-10
1、阿里云的服务器,本身并没有防火墙,但是我们可以安装一个IPtable防火墙(这里阿里云的服务器系统为Centos),这样的话,就需要防火墙和阿里云网址配置白名单同时生效才可以喽。 1、服务器防火墙 1.1、下面这个...
centos7系统安全策略
m0_46392195的博客
05-31 783
DenyHosts是运行于centos系统一款预防SSH暴力破解的软件 下载:http://sourceforge.net/projects/denyhosts/files/ 你在哪个目录下wegt 的,所对应的压缩包就对应在哪个目录,建议在根目录下,接下来就是 解压安装包:tar zxvf DenyHosts-2.6.tar.gz 进入安装包:cd DenyHosts-2.6 安装DenyHosts:python setup.py install cd /usr/share/denyhosts/
防火墙安全策略(基本配置
最新发布
2301_78439235的博客
07-10 2074
此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
centos7服务器安全策略
q908544703的博客
07-28 3058
centos7 服务器安全策略
centos7安全策略之——禁用ssh的root登陆
06-17 297
编辑sshd_config配置文件 vim /etc/ssh/sshd_config PermitRootLogin yes更改为no 重启ssh systemctl restart sshd ...
centos7公网系统安全策略防攻击配置集合(持续更新)
visket2008的专栏
06-21 2396
centos7公网安全策略配置大全
Centos7(Firewall)防火墙开启常见端口命令
01-10
安装Firewall命令: yum install firewalld firewalld-config Firewall开启常见端口命令: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=443/tcp –...
Linux下设置防火墙白名单(RHEL 6和CentOS 7)的步骤
01-09
进入Linux 命令行,编辑防火墙规则配置文件 iptables vi /etc/sysconfig/iptables 下面是一个白名单设置的例子: # Firewall configuration written by system-config-securitylevel # Manual customization of ...
linuxcentos7防火墙基本使用详解
01-10
2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 启动防火墙: systemctl start firewalld.service 关闭防火墙: systemctl stop firewalld.service 重启防火墙: ...
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
为firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
centos7设置ssh安全策略
daiyudong2020的博客
01-30 8473
准备环境: 1.两台虚拟机,系统是centos7IP1:192.168.1.103,IP2:192.168.1.106 2.IP1的SSH的默认端口是22,这里修改为2222 3.只允许IP2通过SSH登录IP1 第一步:检查防火墙设置 a) 检查防火墙是否开启 systemctl status firewalld.service b) 如果防火墙开启,
Centos7服务器安全配置策略
鲁花花生油
03-14 1486
1.创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root 以下是具体做法(需要在root下) 1)新建普通用户 新建普通用户 useradd xxx 设置密码 passwd xxx 2)禁止root登录 vim /etc/ssh/sshd_config //下面这项改为no PermitRootLogin no //重新读取shh的配置 systemctl...
linux安全策略!
互联网
11-22 141
1.重要数据完整性.(Tripwire或者其它替代品AIDE) 2.入侵检测系统(SNORT+ACID) 3.防火墙安全加固(IPTABLE) 4.外部SSH安全连接(密钥或密码方式) 系统安全检测工具 1.NMAP端口扫描 2.Xprobe2版本识别 3.Amap识别远程服务器所提供服务 4.Hydra暴力破解口令 5.NESSUS安全远程漏洞扫描 6.Netca...
Linux服务器上添加ip白名单允许ssh登录访问
weixin_34007291的博客
09-06 8673
vi /etc/hosts.allow # hosts.allow This file contains access rules which are used to # allow or deny connections to network services that # either use the tcp_wrappers library or that have been ...
Linux基础(八)——ssh服务的安全策略
bdkl9998的博客
10-17 433
1、添加sshd登陆信息 vim/etc/motd 文件内容就是登陆后显示的信息 2、用户登陆审计 w ##查看正在使用当前系统的用户## w -i ##查看使用I## w -f ##显示IP## last ##查看使用过并退出的用户信息## lastb ##试图登陆但没有成功的用户## 3、设定主机名 hostnamectl set-hostname h...
centOS7 下利用iptables配置IP地址白名单的方法
RodJohnson_523391的专栏
04-21 1844
[url]http://www.jb51.net/article/98625.htm[/url] 超级详细的iptables介绍 [url]http://blog.csdn.net/sdytlm/article/details/6544913/[/url] 开放一个范围的端口3000到5000 [color=red][b]-A RH-Firewall-1-INPUT -m ...
ssh白名单添加,以及密钥登录
weixin_55707333的博客
08-06 1905
SSH是Secure Shell的缩写,是建立在应用层基础上的安全协议,专为远程登录会话和其他网络服务提供安全性的协议。它允许用户在不同计算机之间以加密方式安全地传输数据,包括用户口令等敏感信息。在Unix操作系统中广泛应用,通过SSH协议,用户可以在字符界面下远程登录管理服务器。
CentOS7 配置防火墙规则应对漏洞扫描
小康子的博客
05-26 2335
CentOS7 配置防火墙以防止 Rancher 漏洞被扫描出来
centos7 添加防火墙白名单
09-01
添加CentOS 7的防火墙白名单,可以按照以下步骤进行操作: 1. 首先,登录到CentOS 7服务器上,并以root用户身份执行以下命令以确保你具有足够的权限。 2. 打开防火墙,可以执行`systemctl start firewalld`来启动防火墙。 3. 检查防火墙状态,可以执行`systemctl status firewalld`来查看防火墙是否正在运行。 4. 如果防火墙正在运行,则可以使用`firewall-cmd`命令添加白名单规则。 - 若要添加单个IP地址到白名单,可以使用以下命令: `firewall-cmd --permanent --add-source=192.168.1.100` - 若要添加IP地址范围到白名单,可以使用以下命令: `firewall-cmd --permanent --add-source=192.168.1.0/24` - 若要添加整个子网到白名单,可以使用以下命令: `firewall-cmd --permanent --add-source=192.168.1.0/255.255.255.0` 5. 添加白名单规则后,需要重新加载防火墙以使其生效。 执行以下命令:`firewall-cmd --reload` 6. 最后,你可以通过执行`firewall-cmd --list-all`来检查防火墙规则是否已成功添加白名单中。 这些步骤将有效地将指定IP地址或IP地址范围添加到CentOS 7的防火墙白名单中。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值