香港云服务器Linux操作系统安全加固设置

[复制链接] |主动推送
查看40 | 回复0 | 2024-9-11 18:17:47 | 显示全部楼层 |阅读模式
系统安全的基本原则,只启动需要的服务,只提供需要的端口访问,关注系统补丁更新


1.更新软件包
centos: yum update -y
debian/ubuntu: apt update && apt upgrade -y
#升级系统小版本
centos: yum upgrade -y


2.设置相对复杂的密码
建议密码包含字母,数字,符号,大小写,以及长度


3.修改默认远程端口
/etc/ssh/sshd_config
Port 22000
systemctl restart sshd


4.防火墙设置
只放行常用的端口,如远程:22000(如果本地公网ip固定,最好设置只允许本地公网ip),web:80,ftp:21
禁用udp端口,只放行请求外部53端口


ubuntu/debian需安装: apt-get install iptables
centos: /etc/sysconfig/iptables
ubuntu: /etc/iptables.rules
debian: /etc/iptables/rules.v4


参考规则:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -j DROP
COMMIT


service iptables reload 或者 systemctl reload iptables
debian导入iptables规则: /sbin/iptables-restore < /etc/iptables/rules.v4


5.不提供外部连接的服务监听回环ip
如redis,mysql,elasticsearch,memcache等
示例:
/etc/redis/redis.conf
bind 127.0.0.1


6.关闭系统不需要的服务
列出正在运行的服务: pstree  
停止自启:
centos6: chkconfig postfix off
centos7+/debian/ubuntu:  systemctl stop postfix ;systemctl disable postfix
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则