溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
注意:此教程的云服務器以centos7以上為例,云服務器于阿里云購買
其他服務商的云服務器配置大同小異
建議:linux的服務器不建議安裝圖形化工具,因為占內存,占帶寬,占資源,弊遠大于利
手動更新系統:
yum -y update
防火墻配置:
service firewalld start //啟動防火墻
systemctl enable firewalld.service //開機自啟
selinux配置:
vim /etc/selinux/config
修改:
SELINUX=enforcing //設置強制模式
reboot //重啟生效
ssh配置:(防暴力破解)
useradd normal //創建一個系統用戶,設置只能通過這個用戶遠程登錄系統
vim /etc/ssh/sshd_config
修改:
Port 2000 //端口必須大于1024
Protocol 2 //沒有的話就添加,有就不用
PermitEmptyPasswords no //禁止空密碼登錄
X11Forwarding no //禁止端口轉發
PermitRootLogin no //禁止root用戶登錄
MaxAuthTries 3 //允許三次嘗試
LoginGraceTime 20 //在20秒內不能完成登錄,則斷開連接
AllowUsers normal //添加,只允許這個用戶遠程登錄
保存退出,重啟ssh
service sshd restart
防火墻開啟ssh端口
firewall-cmd --zone=public --add-port=2000/tcp --permanent
firewall-cmd --reload
selinux開啟ssh端口
yum -y install policycoreutils-python //安裝selinux端口管理工具
semanage port -a -t ssh_port_t -p tcp 2000 //添加端口
semanage port -l |grep ssh //查看selinux開啟的ssh端口
service sshd restart
防止IP SPOOF攻擊
vim /etc/host.conf
末尾添加
nospoof on
禁止被ping
vim /etc/sysctl.conf
有則修改,無則添加
net.ipv4.icmp_echo_ignore_all=0
保存配置
sysctl -p
防火墻禁止被ping
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
firewall-cmd --reload
注意:也可以在阿里云控制臺的安全組規則,刪除允許ICMP協議的規則
每十多天更新一次系統,刪除沒有用到的軟件,清除yum緩存
crontab -e
以下內容按需修改
0 0 */10 * * yum update -y
0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all
防火墻禁止端口掃描(centos7無效,端口還是被掃描出來了,不知道centos7以下是否生效)
iptables -F #清除防火墻策略
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop
卸載阿里云的云盾(安騎士),因為服務器本來就內存緊張,云盾弊大于利,卸載
wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*
注意:卸載完成后,可以刪除以上兩個腳本文件。如果無法wget到文件,請聯系站長索要!
屏蔽云盾IP,云盾會定期掃描服務器模擬黑客攻擊
vim shield_ip.sh
添加如下內容:
#!/bin/bash
echo "開始屏蔽云盾掃描云服務器的IP"
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.0/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.16/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.192/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.184/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.183/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.206/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.195/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.204/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.0/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.192/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.192/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.223.0/26" drop'
firewall-cmd --reload
保存退出
chmod +x shield_ip.sh
./shield_ip.sh
注意:這些IP地址段來源于阿里云官方給的云盾服務器IP,來源:(https://help.aliyun.com/knowledge_detail/37436.html)
編碼設置:
vim /etc/locale.conf
刪除原有,添加如下內容:
LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提示reboot //重啟生效
進入阿里云控制臺,云服務器ECS–>安全組–>配置規則–>添加安全組規則
安全組添加ssh端口,否則外網是無法進入的,包括ftp和apache的端口不在安全組開放的話
下載xshell遠程登錄軟件,normal用戶遠程登錄至linux系統,xshell的使用不再贅述,登錄成功后
su - root //提權
注意:在阿里云控制臺遠程連接登錄系統后,不能以任何用戶一直處于登錄狀態,使用系統完后,必須退出用戶登錄,界面保持在需要輸入用戶名的界面
如:在阿里云控制臺登錄(而不是xshell登錄),退出用戶登錄命令
logout //exit也可以
注意:root用戶的話必須退出兩次才可以
最后:在阿里云控制臺–>安全(云盾)–>態勢感知–>開啟態勢感知服務–>設置郵箱或短信提醒
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
