介绍几个提升Linux服务器(CentOS)安全性的小技巧,比如修改SSH默认端口,限制SSH登录IP地址,禁止ROOT远程登录,删除多余的用户和用户组,修改口令文件属性,禁止[Ctrl+Alt+Delete]重启命令,防止别人Ping等。
1、修改SSH默认端口
# 修改配置文件
[root@PHPHa ~]# vi /etc/ssh/sshd_config
# 修改 Port 22 为
Port 22
Port 888
# 重启SSH服务
[root@PHPHa ~]# /etc/init.d/sshd restart
这样SSH端口 22 和 888 将同时有效。
# 修改防火墙配置
[root@PHPHa ~]# vi /etc/sysconfig/iptables
# 启用888端口
[root@PHPHa ~]# -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 888 -j ACCEPT
# 重启防火墙
[root@PHPHa ~]# /etc/init.d/iptables restart
现在可使用SSH工具连接888端口,来测试是否成功。如果连接成功了,则再次编辑sshd_config的设置和防火墙的端口,将里边的Port22删除,然后重新启动ssh服务和防火墙的访问规则即可。
2、禁止ROOT远程登录
# 先增加一个普通权限的用户
[root@PHPHa ~]# useradd phpha_com
[root@PHPHa ~]# passwd phpha_com
# 禁止ROOT远程SSH登录
[root@PHPHa ~]# vi /etc/ssh/sshd_config
PermitRootLogin yes
# 改为
PermitRootLogin no
# 重启sshd服务
[root@PHPHa ~]# service sshd restart
远程管理用普通用户phpha_com登录,然后用 su root 切换到root用户拿到最高权限
3、限制SSH登录IP地址
<1> 添加允许访问的IP
[root@PHPHa ~]# vi /etc/hosts.allow
sshd: 8.8.8.8
<2> 禁止其它的所有IP
[root@PHPHa ~]# vi /etc/hosts.deny
sshd: ALL
4、删除多余的用户和用户组
# 删除多余用户
[root@PHPHa ~]# vi /etc/passwd
[root@PHPHa ~]# userdel adm
[root@PHPHa ~]# userdel lp
[root@PHPHa ~]# userdel sync
[root@PHPHa ~]# userdel shutdown
[root@PHPHa ~]# userdel halt
[root@PHPHa ~]# userdel news
[root@PHPHa ~]# userdel uucp
[root@PHPHa ~]# userdel operator
[root@PHPHa ~]# userdel games
[root@PHPHa ~]# userdel gopher
[root@PHPHa ~]# userdel ftp
# 删除多余用户组
[root@PHPHa ~]# vi /etc/group
[root@PHPHa ~]# groupdel adm
[root@PHPHa ~]# groupdel lp
[root@PHPHa ~]# groupdel news
[root@PHPHa ~]# groupdel uucp
[root@PHPHa ~]# groupdel games
[root@PHPHa ~]# groupdel dip
[root@PHPHa ~]# groupdel pppusers
5、修改口令文件属性
# 添加属性,禁止修改
[root@PHPHa ~]# chattr +i /etc/passwd
[root@PHPHa ~]# chattr +i /etc/shadow
[root@PHPHa ~]# chattr +i /etc/group
[root@PHPHa ~]# chattr +i /etc/gshadow
# 去除属性
[root@PHPHa ~]# chattr -i /etc/passwd
[root@PHPHa ~]# chattr -i /etc/shadow
[root@PHPHa ~]# chattr -i /etc/group
[root@PHPHa ~]# chattr -i /etc/gshadow
6、禁止[Ctrl+Alt+Delete]重启命令
[root@PHPHa ~]# vi /etc/inittab
# 注释掉下面这行
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
# 设置 /etc/rc.d/init.d/ 目录下文件的权限
[root@PHPHa ~]# chmod -R 700 /etc/rc.d/init.d/*
7、防止别人ping的方法
[root@PHPHa ~]# echo 1 > /proc/sys/net/ipv4/icmp_ignore_all
# 用防火墙禁止(或丢弃) icmp 包
[root@PHPHa ~]# iptables -A INPUT -p icmp -j DROP