ホームページ > 運用・保守 > Linuxの運用と保守 > Linux Centos7 システム強化のナレッジポイントまとめ

Linux Centos7 システム強化のナレッジポイントまとめ

小云云
リリース: 2018-03-01 09:27:09
オリジナル
1916 人が閲覧しました

この記事では主にLINUXにおけるCentos7のシステム強化に関連する知識ポイントを詳しく紹介しますので、お役に立てれば幸いです。

注: このチュートリアルでは、例として centos7 以降を使用します。クラウド サーバーは Alibaba Cloud から購入します。

他のサービス プロバイダーのクラウド サーバー構成も同様です。グラフィカル ツールを Linux サーバーにインストールすると、メモリとリソースが占有され、害が利点をはるかに上回ります

手動更新システム:

yum -y update

ファイアウォール設定:

service firewalld start //Start the firewall
systemctl Enable firewalld.service //起動時に開始


selinux 設定:

vim /etc/selinux/config

変更:

SELINUX=enforcing //強制モードを設定
reboot //再起動有効にするための


ssh設定: (ブルートフォースクラッキング対策)

useraddnormal //システムユーザーを作成し、このユーザーのみがシステムにリモートログインできるように設定します
vim /etc/ssh/sshd_config


変更:

ポート 2000 //ポートは 1024 より大きい必要があります
プロトコル 2 //なし はいの場合は追加します。はいの場合は使用しないでください

PermitEmptyPasswords no //空のパスワードでのログインを禁止します
X11Forwarding no //ポート転送を禁止する
PermitRootLogin no //rootユーザーのログインを禁止する
MaxAuthTries 3 //3回の試行を許可する
LoginGraceTime 20 //20秒以内にログインが完了できない場合は切断する
AllowUsersnormal //追加、このユーザーのみに許可するリモートでログインします

保存して終了し、sshを再起動します

service sshd restart

ファイアウォールがsshポートを開きます

firewall-cmd --zone=public --add-port=2000/tcp --permanent
firewall-cmd --reload


selinux は ssh ポートを開きます

yum -y installpolicycoreutils-python //selinux ポート管理ツールをインストールします
semanage port - a -t ssh_port_t -p tcp 2000 //ポートを追加します

semanage port -l |grep ssh //selinux によって開かれた ssh ポートを表示します
service sshd restart

IP SPOOF 攻撃を防止します

vim /etc/host.conf

pinged

vim /etc/sysctl.conf

そうであれば変更し、そうでない場合は追加します

net.ipv4.icmp_echo_ignore_all=0

設定を保存します

sysctl -p

ファイアウォールは ping を禁止されています

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
firewall-cmd --reload

注: 許可するルールを削除することもできます。 Alibaba Cloud コンソールのセキュリティグループルールにある ICMP プロトコル

10 日ごとにシステムを更新し、未使用のソフトウェアを削除し、yum キャッシュをクリアします


crontab -e

以下の内容は次のとおりです変更が必要です

0 0 */10 * * yum update -y
0 0 */11 * * yum autoremove -y

0 0 */12 * * yum clean all

ファイアウォールはポートスキャンを禁止しています(centos7は無効です、ポートはまだスキャンされています。centos7 以下で有効かどうかはわかりません7)

iptables -F #ファイアウォールポリシーをクリア
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp -- tcp-flags SYN,SYN --dport 80 -j Drop

Alibaba Cloud の Cloud Shield (サーバー サーバー) をアンインストールします。サーバーは本質的にメモリを大量に消費するため、Cloud Shield は良いことよりも害を及ぼすことになります



wget http://update .aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh

wget http://update.aegis.aliyun.com/download/quartz_uninstall. sh
chmod +xquartz_uninstall. sh

./quartz_uninstall.sh

pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service

rm -rf /usr/local/aegis*


注: アンインストールが完了しました。最後に、上記 2 つのスクリプト ファイルを削除できます。ファイルを取得できない場合は、ウェブマスターに連絡してファイルをリクエストしてください。

Cloud Shield IP をブロックすると、Cloud Shield はサーバーを定期的にスキャンしてハッカー攻撃をシミュレートします


vimshield_ip.sh

次のコンテンツを追加します:

#!/bin/bash
echo "开開始遮蔽云盾扫描云服务器的IP"
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="140.205.201.0/28 " drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="140.205.201.16/29" drop'
firewall-cmd --permanent --add-rich-rule= 'ルールファミリー=ipv4 送信元アドレス="140.205.201.32/28" ドロップ'
firewall-cmd --permanent --add-rich-rule='ルールファミリー=ipv4 送信元アドレス="140.205.225.192/29" ドロップ'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family= ipv4 送信元アドレス="140.205.225.184/29" ドロップ'
ファイアウォール-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="140.205.225.183/32" ドロップ'
ファイアウォール-cmd - -permanent --add-rich-rule='rule family=ipv4 送信元アドレス = "140.205.225.206/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス= "140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="140.205.225.195/32" drop'
firewall-cmd --permanent -- add-rich-rule='rule family=ipv4 送信元アドレス="140.205.225.204/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="106.11.224.0 /26" ドロップ'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="106.11.224.64/26" ドロップ'
firewall-cmd --permanent --add-rich- rules='rule family=ipv4 送信元アドレス="106.11.224.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="106.11.224.192/26" drop '
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス = "106.11.222.64/26" ドロップ'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="106.11.222.128/26" ドロップ'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="106.11.222.192/26" ドロップ'
ファイアウォール- cmd --permanent --add-rich-rule='rule family=ipv4 送信元アドレス="106.11.223.0/26" drop'
firewall-cmd --reload

保存退出

chmod +xshield_ip.sh
./shield_ip.sh

注意:この IP アドレスセグメントは阿里云官方给の云シールド服务器 IP に由来しており、来源:(https://help.aliyun.com/knowledge_detail/37436.html)

编码設定:

vim /etc/locale.conf

删除原有、追加如下内容:

LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提案

reboot //重启生效

阿里云控制台,云服务器ECS–>安全組–>構成规则–>追加安全組规则

安全組ssh端子口、外部ネットワークが不法侵入であるかどうか、ftpとapacheを含む的ポート非安全组开放的话

ダウンロードxshell远程登录软件,通常用户远程登录至linux系统,xshellの使用不再赘述,登录成功後

su - root //提权

注意:在阿里云制御台远程が登录システムに接続した後、いかなるユーザーも登録状態に留まることはできません。システムの使用が完了した後、ユーザー登録を退出する必要があり、ユーザー入力が必要なユーザー名の界面を維持する必要があります

例: 在阿里xshell登录),退出用户登录コマンド

logout //exitも可

注意:root用户的话必须退出两次才可以

最終:在阿里云制御台–>安全(云シールド)–> ;态势感知–>开启态势感知服务–>設置邮箱または短信提醒

相关推荐:

Centos7のインストールと構成Mysql5.7の方法分享

centos7上弾性検索安装详解

Centos7でLinux下にMysql5.7.19をインストールする教程(図)

以上がLinux Centos7 システム強化のナレッジポイントまとめの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート