qq竞彩足球比分直播 > 網絡資訊 > 常見問題 > 其他問題 >
如何做好centos安全設置?
分享至:0
2013-12-09 22:34:16     來源:互聯網     點擊:
導讀: 云主機第一件事修改root密碼。。[[email protected] ~] passwd復制代碼1、用防火墻關閉不須要的任何端口,別人PING不到服務器,威脅自然減少
qq竞彩足球比分直播第一件事修改root密碼。。
  1. [[email protected] ~]# passwd
復制代碼
1、用防火墻關閉不須要的任何端口,別人PING不到qq竞彩足球比分直播,威脅自然減少了一大半

防止別人ping的方法: 

1)命令提示符下打
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all

2)用防火墻禁止(或丟棄) icmp 包
iptables -A INPUT -p icmp -j DROP

3)對所有用ICMP通訊的包不予響應 
比如PING TRACERT

2、更改SSH端口,最好改為10000以上,別人掃描到端口的機率也會下降

vi /etc/ssh/sshd_config 
將PORT改為1000以上端口

同時,創建一個普通登錄用戶,并取消直接root登錄
useradd 'username'
passwd 'username'

vi /etc/ssh/sshd_config 
在最后添加如下一句:
PermitRootLogin no         #取消root直接遠程登錄

3、刪除系統臃腫多余的賬號: userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp 如果你不允許匿名FTP,就刪掉這個用戶帳號 groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers
4、更改下列文件權限,使任何人沒有更改賬戶權限: chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow
5、chmod 600 /etc/xinetd.conf
6、關閉FTP匿名用戶登陸

CentOS安裝好,默認只打開了22端口,如果希望開放其他端口的話,需要打開所需端口。
比如打開http的默認端口80
編輯iptables 

vi /etc/sysconfig/iptables 

添加

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3001 -j ACCEPT  

重新啟動服務

/sbin/service iptables restart

查看端口是否開放

/sbin/iptables -L -n
CentOS 5qq竞彩足球比分直播安全設置
一.Centos 系統安全方面
1、用防火墻關閉不須要的任何端口,別人PING不到服務器,威脅自然減少了一大半
2、更改SSH端口,最好改為10000以上,別人掃描到端口的機率也會下降
3、刪除系統臃腫多余的賬號:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp 如果你不允許匿名FTP,就刪掉這個用戶帳號
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers
  1. vi /etc/passwd
  2. #userdel adm
  3.      #userdel lp
  4.      #userdel sync
  5.      #userdel shutdown
  6.      #userdel halt
  7.      #userdel news
  8.      #userdel uucp
  9.      #userdel operator
  10.      #userdel games
  11.      #userdel gopher
  12.      #userdel ftp 
  13.      vi /etc/group
  14.      #groupdel adm
  15.      #groupdel lp
  16.      #groupdel news
  17.      #groupdel uucp
  18.      #groupdel games
  19.      #groupdel dip
  20.      #groupdel pppusers
復制代碼
4、更改下列文件權限,使任何人沒有更改賬戶權限:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
5、chmod 600 /etc/xinetd.conf
6、關閉FTP匿名用戶登陸
7.修改口令文件屬性
  1. <div>//添加屬性,禁止修改</div><div>chattr +i /etc/passwd</div><div>chattr +i /etc/shadow</div><div>chattr +i /etc/group</div><div>chattr +i /etc/gshadow</div><div>//去除屬性</div><div># chattr -i /etc/passwd</div><div># chattr -i /etc/shadow</div><div># chattr -i /etc/group</div><div># chattr -i /etc/gshadow</div>
復制代碼
8.禁止[Ctrl+Alt+Delete]重啟命
  1. <div>vi /etc/inittab</div><div>//注釋掉下面這行</div><div>#ca::ctrlaltdel:/sbin/shutdown -t3 -r now</div><div>//設置 /etc/rc.d/init.d/ 目錄下文件的權限</div><div>chmod -R 700 /etc/rc.d/init.d/*</div>
復制代碼
9禁止ping
  1. echo 1 > /proc/sys/net/ipv4/icmp_ignore_all
  2. //用防火墻禁止(或丟棄) icmp 包
  3. iptables -A INPUT -p icmp -j DROP
復制代碼
二.PHP 安全篇
1、開啟安全模式(做為商業應用的服務器不建議開啟)
#vi /usr/local/Zend/etc/php.ini (沒裝ZO時php.ini文件位置為:/etc/php.ini)
safe_mode = On
2、鎖定PHP程序應用目錄
#vi /etc/httpd/conf.d/virtualhost.conf
加入
php_admin_value open_basedir /home/*** (***為站點目錄)
3、千萬不要給不必要的目錄給寫權限,也就是777權限,根目錄保持為711權限,如果不能運行PHP請改為755
4、屏蔽PHP不安全的參數(webshell)
#vi /usr/local/Zend/etc/php.ini (沒裝ZO時php.ini文件位置為:/etc/php.ini)
disable_functions = system,exec,shell_exec,passthru,popen
以下為我的服務器屏蔽參數:
disable_functions = passthru,exec,shell_exec,system,set_time_limit,ini_alter,dl,
pfsockopen,openlog,syslog,readlink,symlink,link,leak,fsockopen,popen,escapeshell
cmd,error_log
linux修改ssh端口22
vi /etc/ssh/ssh_config
vi /etc/ssh/sshd_config
然后修改為port 8888
以root身份service sshd restart (redhat as3)
使用putty,端口8888
Linux下SSH默認的端口是22,為了安全考慮,現修改SSH的端口為1433,修改方法如下:
/usr/sbin/sshd -p 1433
===============================================================================
第一 種:
01假如要改SSH的默認端口(22),那么你只要修改:/etc/ssh/sshd_config中Port 22,這里把22改成自己要設的端口就行了,不過千萬別設和現已有的端口相同哦,以防造成未知后果。
02假如要限制SSH登陸的IP,那么可以如下做:
先:修改/etc/hosts.deny,在其中加入sshd:ALL
然后:修改:/etc/hosts.allow,在其中進行如下設置:sshd:192.168.0.241
這樣就可以限制只有192.168.0.241的IP通過SSH登陸上LINUX機器了。當然在做為服務器方面,我都不裝gnome和KDE的,而且很多東東都不裝,這樣增加安全系數。
第二種:
首先修改配置文件
vi /etc/ssh/sshd_config
找到#Port 22一段,這里是標識默認使用22端口,修改為如下:
Port 22
Port 50000
然后保存退出
執行/etc/init.d/sshd restart
這樣SSH端口將同時工作與22和50000上。
現在編輯防火墻配置:vi /etc/sysconfig/iptables
啟用50000端口。
執行/etc/init.d/iptables restart
現在請使用ssh工具連接50000端口,來測試是否成功。
如果連接成功了,則再次編輯sshd_config的設置,將里邊的Port22刪除,即可。
之所以先設置成兩個端口,測試成功后再關閉一個端口,是為了方式在修改conf的過程中,
萬一出現掉線、斷網、誤操作等未知情況時候,還能通過另外一個端口連接上去調試
以免發生連接不上必須派人去qq竞彩足球比分直播,導致問題更加復雜麻煩。
內核參數調整
  1. #vi /etc/sysctl.conf
  2.       sysctl -w net.ipv4.conf.default.accept_source_route=0
  3.       sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
  4.       #sysctl -w net.ipv4.icmp_echo_ignore_all=1
  5.       sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
  6.       sysctl -w net.ipv4.ip_conntrack_max=65535
  7.       sysctl -w net.ipv4.tcp_syncookies=1
  8.       sysctl -w net.ipv4.tcp_syn_retries=1
  9.       sysctl -w net.ipv4.tcp_fin_timeout=5
  10.       sysctl -w net.ipv4.tcp_synack_retries=1
  11.       sysctl -w net.ipv4.tcp_syncookies=1
  12.       sysctl -w net.ipv4.route.gc_timeout=100
  13.       sysctl -w net.ipv4.tcp_keepalive_time=500
  14.       sysctl -w net.ipv4.tcp_max_syn_backlog=10000
復制代碼
 


? ? ?
?