服务器安全加固措施(Linux_Centos7)_centos7系统apache服务器安全加固-程序员宅基地
Centos7服务器安全改造
1 概述
root用户作为系统的超级管理员,拥有对系统的所有访问权限,在使用root操作的过程中需要引起足够的重视。尤其是目前云服务器风起云涌,各位开发人员的主战场从线下转到了线上,云服务器成了很多人员每天打交道的一个环节,针对每次登陆看到的登陆失败XXXX次,给人的感觉就是今天家里的防盗门被开启过XXXX次,明明是你自己的家,看到这个场景不得不让你想抒发一下情感。本篇针对云服务器安全提升方面的介绍。
2 环境说明
服务器:云服务器
操作系统:Centos7.9.2009(Core)
3 安全改造的项目
禁用账号SSH登陆
端口调整
防火墙调整
密码策略
4 改造步骤
以上步骤之间没有依赖和关联性,可以根据自己喜好对应的调整即可。
4.1 禁用用户SSH登陆
禁用用户远程SSH登陆包括禁用root用户和禁用普通用户直接登陆
4.1.1 禁用root远程ssh直接登陆
修改/etc/ssh/sshd_config文件
#PermitRootLogin yes
修改为
PermitRootLogin no
查看
more /etc/ssh/sshd_config | grep PermitRootLogin
重启ssh服务,重启后查看
systemctl restart sshd.service
4.1.2 禁用普通用户远程ssh直接登陆
打开配置文件/etc/ssh/sshd_config
vim /etc/ssh/sshd_config
在文件末尾加入要禁用的信息
DenyUsers yelflower
保存退出
重启ssh服务
systemctl restart sshd.service
4.2 修改SSH默认端口
ssh默认端口22,默认扫描的重灾区。将默认端口调整为不常用端口。建议10000~65536端口之间的随机端口,跟现有端口不冲突。
1、新增端口
修改
2、防火墙设置
需要将新增调整的端口在防火墙上开启策略
#firewall-cmd --zone=public --add-port=31697/tcp --permanent
#firewall-cmd --reload
3、SELinux中添加修改的SSH端口
安装SELinux管理工具semanage
#yum provides semanage
安装semanage依赖工具包policycoreutils-python
#yum -y install policycoretuils-python
查询ssh服务端口
#semanage port -l | grep ssh
像SELinux中添加ssh端口
#semanage port -a -t ssh_port_t -p tcp 31697
添加完毕查看端口,确认添加成功后,
重启ssh服务
systemctl restart sshd.service
使用31697登陆测试
登陆成功后禁用22端口
4.3 防火墙设置
查看防火墙状态
systemctl status firewalld
启动防火墙
systemctl start firewalld
关闭防火墙
systemctl stop firewalld
重启防火墙
systemctl restart firewalld
查看防火墙端口
firewall-cmd --list-port
新增端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
关闭端口
firewall-cmd --zone=public --remove-port=80/tcp --permanent
重新加载配置
firewall-cmd --reload
最小端口法,将不用的端口进行关闭,保留再用的端口,减少安全隐患。
4.4 密码策略
信息系统安全等级保护关于主机的访问控制有一个控制点是这样要求的: 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
密码口令配置文件/etc/login.defs
修改如下
PASS_MAX_DAYS 90
PASS_MIN_DAYS 5
PASS_MIN_LEN 10
PASS_WARN_AGE 7
配置信息查看
通过命令chage -l username来查看账户的配置信息。
这些配置并不对已有账户生效,只对新建账户生效。因此对于已有账户,一定要用chage命令进行逐一修改。
设置密码复杂度
一般要求口令由大小写字母、数字和字符共同组成。唯一的缘由就是这样的口令复杂度高,不容易被暴力破解。在/etc/pam.d/system-auth中添加配置如下:
password required pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1
保存测试验证
新增用户
#useadd yelflower
#passwd yelflower
用户修改密码,必须得遵守设定的密码复杂度的规则。密码过于简单,系统会提示。这个配置要求密码长度10位以上,由至少1位大写、小写字母和数字组成。
登陆失败锁定设置
确认需要达到的效果
| 位置 | 限制效果 |
|---|---|
| /etc/pam.d/login | 在本地文本终端登录时限制 |
| /etc/pam.d/kde | 在本地图形界面登录时限制 |
| /etc/pam.d/sshd | 在ssh登录时限制 |
| /etc/pam.d/system-auth | 凡是调用此文件的服务,都限制 |
云服务器使用的是最小系统安装法,在ssh登陆时限制设置
配置命令
auth required pam_tally2.so deny=5 lock_time=5 unlock_time=5
以上仅为本人在Centos7操作系统中的安全防护优化,在linux的安全加固中还有很多措施和方法。
智能推荐
django(11)_/works/count?is_template=false (6 ms) 403-程序员宅基地
文章浏览阅读443次。1、django的简介浏览器与服务器之间遵循的一个协议: HTTP协议服务器与应用程序框架之间:wsgi1.1 Django的简介Django是一个重量型框架主要目的:简便快捷开发Django基于MVC模式,但是它是MVT模式的核心:解耦(高内聚,低耦合)MVC设计的框架(1)重量级框架(2)MVT模式MVC :定义:MVC全名是Model View Con..._/works/count?is_template=false (6 ms) 403
Ubuntu安装VMtools实现与主机之间复制粘贴_ubuntu虚拟机与主机复制粘贴-程序员宅基地
文章浏览阅读9.6k次,点赞65次,收藏120次。VMtools应该已成功安装并配置,应该能够在主机和Ubuntu虚拟机之间实现文本的复制和粘贴操作。右键点击你创建的系统,然后出现菜单下滑找到安装 VMware Tools(T) 这个点击安装;这些命令假设你的Ubuntu系统已连接到互联网并且已配置为使用apt软件包管理器;Ubuntu上安装和配置VMtools以实现与主机之间的文本复制粘贴功能;然后弹出虚拟机设置-->点击选项-->客户机隔离-->启用复制粘贴;如果你的网络环境有限,你可能需要提前配置好网络或更换软件源;_ubuntu虚拟机与主机复制粘贴
在线八字排盘软件 源代码_所有设计师都应该知道的15种在线排版工具-程序员宅基地
文章浏览阅读1.9k次。排版是任何设计的基础 ,因为阅读是我们在网络上所做的最基本的事情之一。 您选择的排版会影响网站的多个方面,包括可读性,心情和整体用户体验 。 对于设计师和开发人员来说, 了解字体的基本原理以创建可读的令人愉悦的设计至关重要。 之前我们一直在讨论字体配对工具 ,而今天我们将与您分享打字工具,这些工具可以使您在构建和/或设计的网站上获得更好的阅读体验。 这些是插件,在线工具和脚本,可帮助您..._八字排盘app编写
永磁同步电机矢量控制(PMSM-FOC)仿真教程_永磁同步电机电流滞环矢量控制系统仿真csdn-程序员宅基地
文章浏览阅读6.6k次,点赞22次,收藏68次。先放下我做的完整永磁同步电机矢量控制系列仿真框图我在做仿真前是每个小的仿真分开做的,在各个仿真完成后我把所有的集中在了一个仿真模型里面,公用一个PMSM,不再需要复杂的切换和调参了。在模型里我把各个仿真的原理图和结果都仿真里面可以方便对照。ps.个人有点在意模型搭建的简洁性和美观性,在外观上简洁美观的,在性能上也会更好。less is more - .-目录总体仿真框图1.矢量运算器的PMSM-FOC2.PMSM-FOC采用电流滞环3.PMSM-FOC 采用..._永磁同步电机电流滞环矢量控制系统仿真csdn
计算机网络——以太网帧结构/格式_以太网帧包括哪些字段-程序员宅基地
文章浏览阅读5.8k次,点赞4次,收藏15次。目录目的地址源地址类型字段数据字段FCS前同步码格式如图所示:可以看到,以太网帧由6个字段组成:目的地址目标适配器的MAC地址 (即物理地址,也称为链路地址、MAC地址、LAN地址。关于它的详细介绍以及其他寻址方式的介绍可以看这篇博客:计算机网络知识点——寻址(物理地址、逻辑地址、端口地址与专用地址))。源地址传输该帧到局域网上的适配器的MAC地址。类型字段用来标记上一层使用的是什么协议,以便把收到MAC帧的数据上交给上一层的这个协议。数据字段46~1500个字节,46是因为以太网MA_以太网帧包括哪些字段
DWA路径规划算法-程序员宅基地
文章浏览阅读9.7k次,点赞20次,收藏231次。来源丨古月居1.DWA路径规划基本原理动态窗口法主要是在速度(v,w)空间中采样多组速度,并模拟机器人在这些速度下一定时间(sim_period)内的轨迹。在得到多组轨迹以后,对这些轨迹进行评价,选取最优轨迹所对应的速度来驱动机器人运动。该算法突出点在于动态窗口这个名词,它的含义是依据移动机器人的加减速性能限定速度采样空间在一个可行的动态范围内。2.DWA路径规划流程3...._dwa算法
随便推点
监控的几个维度_监控维度-程序员宅基地
文章浏览阅读3.3k次,点赞5次,收藏8次。Promentheus、Grafana,监控维度讨论。_监控维度
K8S中service的分类以及各种使用场景详解_容器service的类型-程序员宅基地
文章浏览阅读7.5k次,点赞7次,收藏43次。前言前面两个章节讲解了K8S的总体入门准备以及全局配置管理的相关内容,正常来说接下来应该将将存储或者组件,但是由于那两部分内容过多且相对偏重细节,所以这一篇先把K8S中的Service先讲解下,帮助大家先理清K8S的整体架构,后续再讲解细节内容的时候可以快速上手,便于理解。正文Service是什么?在说明Service是什么之前先了解下Service的使用场景: 当客户端想要访问K8S集群中的pod时,需要知道pod的ip以及端口,那K8S中如何在不知道pod的地址信息的情况下进行po_容器service的类型
使用(ImageMagick+tesseract-ocr)实现图像验证码识别实例_imagemagick+tesseract-ocr)实现图像验证码识别.-程序员宅基地
文章浏览阅读2.1w次。最近在搞一个无人值守系统时,需要能自动登录,在登录时需要输入验证码,所以研究了验证码识别技术,否则我这个无人值守系统的作用就没有了。目前只测试了字母和数字的识别,准确率还是可以的,呵呵,已经够我自已用了~~,至于中文的识别可以参考我上篇文章:利用开源程序(ImageMagick+tesseract-ocr)实现图像验证码识别。验证码识别率如下图:(准确率还可以吧)好吧,切入正题,赶快上_imagemagick+tesseract-ocr)实现图像验证码识别.
android移动开发项目化教程,腾讯、字节跳动面经已发,专题解析-程序员宅基地
文章浏览阅读123次。前言近日,字节跳动正式启动了2021届秋季校园招聘,为应届毕业生开放超过6000个工作岗位。这一数字超过了该公司往年秋招规模,并与其今年春招规模持平。全年校招人数共计超过1万2千人,远高于同类型互联网公司,体现了字节跳动保持业务快速增长,重视对优秀人才的持续投入。字节跳动校园招聘负责人介绍,该项招聘主要面向2021届毕业生,即2020 年9月至2021年8月期间毕业的大学生群体。这批岗位覆盖字节跳动10多项产品和业务,既包括今日头条、抖音、西瓜视频等旗舰产品,也包括懂车帝、幸福里、番茄小说等垂类应用,以_android移动开发项目化教程
伪分布式hadoop+spark+scala搭建-程序员宅基地
文章浏览阅读465次,点赞17次,收藏5次。看见worker和master就说明spark集群启动成功。切换到spark安装目录的/sbin目录下。使profile文件更新生效。
oracle一个字符,Oracle的一个字符串数据变为多行记录-程序员宅基地
文章浏览阅读391次。Oracle的一个字符串数据变为多行记录--把p_string的值动态切分为表的行数据create or replace type split_rec as object (id varchar2(50),userId varchar2(32767));create or replace type split_tbl as table of split_rec;CREATE OR REPLACE ..._oracle 根据某一个字段的数量生成多行