参考链接: https://www.cnblogs.com/xxoome/p/7115614.html.
https://www.cnblogs.com/wuling129/p/9771811.html.
https://blog.csdn.net/solaraceboy/article/details/80229500.
一、防火墙简介
1、防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
2、防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
二、Centos7防火墙配置
firewalld的基本使用
启动: systemctl start firewalld
关闭: systemctl stop firewalld
查看状态: systemctl status firewalld
开机禁用 : systemctl disable firewalld
开机启用 : systemctl enable firewalld
配置firewalld-cmd
查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
查看区域信息: firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
1、查看firewall服务状态
systemctl status firewalld
2、查看firewall的状态
firewall-cmd --state
3、开启、重启、关闭、firewalld.service服务
# 开启
service firewalld start
# 重启
service firewalld restart
# 关闭
service firewalld stop
4、查看防火墙规则
firewall-cmd --list-all
5、查询、开放、关闭端口
# 查询端口是否开放
firewall-cmd --query-port=8080/tcp
# 开放80端口
firewall-cmd --permanent --add-port=80/tcp
# 移除端口
firewall-cmd --permanent --remove-port=8080/tcp
#重启防火墙(修改配置后要重启防火墙)
firewall-cmd --reload
# 参数解释
1、firwall-cmd:是Linux提供的操作firewall的一个工具;
2、--permanent:表示设置为持久;
3、--add-port:标识添加的端口;
优化
1.养成能不用root则不用root的良好习惯。每次安装软件、部署应用之前,先做好管理账户、目录的规划。最好是装完系统就新增一个标准用户,visudo给这个账户配置sudo权限,只有这个账户具有root权限。在这一点上必须得赞一下Ubuntu,安装完成之后你是不能直接root用户登录的。
2.启用密码策略。
3.禁止通过telnet等不安全的登录方式。目前的系统默认一般不自带telnet,如果装了telnet那就卸载了。
4.使用ssh2协议,禁止root用户通过ssh登录。设置某些账号可以su到root,大部分标准用户禁止切换到root。
5.设置不活动用户登录超时自动退出登录并断开ssh连接。例如:TMOUT=300
6.设置HISTORYFILESIZE和HISTSIZE。
7.调整文件描述符。文件描述符是有无符号的整数表示的句柄,进程使用它来标识打开的文件,文件描述符包括相关信息的文件对象关联,这些信息被称为文件的上下文文件描述符的有效范围是0到OPEN_MAX。文件描述符的默认大小是1024,可以使用命令ulimit -n进行查看。使用ulimit -n 2048可以临时性的进行设置,退出登录之后失效。可以编辑/etc/security/limits.conf使其永久生效, 在被注释了的内容中,我们基本能够看到每一个配置项的详细说明,按照说明进行配置即可。在这个配置文件最后一行新增:* - nofile 2048,重新登录或重启之后生效。如果并发不大可以不用修改此项。
8.关闭SELinux。将/etc/selinux/config中的SELINUX=enforcing改为:SELINUX=disabled,保存之后重启系统即可生效。
9.如果使用了硬件防火墙及其他相关的网络安全措施,可以将系统自带的防火墙卸载。CentOS6自带的防火墙是iptables,CentOS7自带的防火墙是firewalld,并且从CentOS7.4起,防火墙开机自动启动,这需要特别注意。如果是直接暴露在外网的服务器,那么强烈建议开启防火墙。需要注意的是,iptables和firewalld不能同时存在,只能选择其一,建议使用动态防火墙firewalld。
9.如果确定使用ntp连网来获取时间,CentOS7.X自带了chrony,并且为开机启动,可用通过修改/etc/chrony.conf配置文件来设置同步时间源。一般公司都具有内部NTP服务器,统一指向这些NTP服务器即可。当然,也可以使用连网NTP服务器,例如阿里云的,或者其他稳定、可靠的NTP时间服务器。也可以通过交互式命令chronyc来设置ntp服务。需要注意的是:如果填写了ntp服务器的域名,则需要配置能够正常解析的dns服务器,NTP处于的层级(stratum )也非常重要。其他时间、日期、NTP设定可以使用timedatectl。如果有其他时间同步管理方案,请卸载chronyd。
10.锁定关键系统文件,防止被提权篡改。使用chattr命令来进行操作,需要锁定的文件如:/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow等。
10.清除多余的系统虚拟账号。如:games、lp、ftp等。
11.给grub菜单加密,CentOS7用的是grub2。
12.一些服务器可以设置禁ping。但这也不是最佳方案,因为有时候我们也需要通过ping来检查网络情况。
13.配置内部yum源或者国内yum源。
14.优化Linux内核参数。此部分内容较多,操作也需要十分谨慎,后期会专门针对这一部分进行深入探索。
15.禁止显示内核版本及系统版本信息。此部分本人认为不必太重视,因为在CentOS7中,/etc/redhat-release及/proc/version都会涉及到相关内容的显示,没必要纠结这一项。
系统安全设置及优化设置
1 创建标准账号,授予sudo权限,指定特定账户可以su到root账户。禁止root用户通过ssh远程登录,使用安全性较高的ssh2协议进行登录,卸载telnet(如果已安装)。
2 启用密码策略。
3 在应用部署之前需要按要求建好管理账户,做好应用目录的规划与权限设计,使用指定用户启动指定应用。
4 设置不活动用户登录超时自动退出登录并断开ssh连接。例如:TMOUT=300
5 设置HISTORYFILESIZE和HISTSIZE。
6 调整文件描述符。
7 关闭SELinux。
8 使用或禁用防火墙。
9 设置NTP时间同步。
10 锁定关键系统文件,防止被提权篡改。
11 清除多余的系统虚拟账号。如:games、lp、ftp等。
12 给grub菜单加密(可选)。
13 一些服务器可以设置禁ping(可选)。
14 配置内部yum源或者国内yum源。
15 优化Linux内核参数(谨慎操作)。
16 禁止显示内核版本及系统版本信息(可选)。
此文站仅供学习,详情请查看原文章:
参考链接: https://www.cnblogs.com/xxoome/p/7115614.html.
https://www.cnblogs.com/wuling129/p/9771811.html.
https://blog.csdn.net/solaraceboy/article/details/80229500.
212
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
