使用Ecs常规安全配置

前言

        购买了阿里云的Ecs,需要对服务器进行一些设置,不然很容易被抓了当肉鸡,安全第一,其实你熟悉这些设置,也不难,只是费些时间。

        1:安全组策略配置

        2:防火墙配置

        3:更改ssh默认的端口

        4:创建非根用户

        5:使用SSH密钥对认证

        6:禁用密码、禁止根用户登录


一:安全组策略配置

    什么是阿里云安全组策略?通俗的讲就是端口放行,阿里云默认80,21,3306等端口是没有放行的,所以配置好服务器,发现网站并不能打开,所以,用到什么端口,首先在安全组内放行。安全组可以管理一个或多个Ecs。

     配置是在阿里云管理控制台操作的。


二:防火墙配置 

     Centos6 和 Centos7,防火墙分别对应的是iptables和firewalld,如果配置了安全组,可以把防火墙关掉,因为安全组和防火墙二选一就可以了。

     1:iptables的配置(更详细可以去百度查找)

1:rm -rf /etc/sysconfig/iptables
2:vi /etc/sysconfig/iptables
################################ 添加好之后防火墙规则如下所示
*filter
:INPUT DROP [7:709]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12234 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80:3306 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -j ACCEPT
-I INPUT -p udp -m udp --sport 123 -j ACCEPT
-I OUTPUT -p udp -m udp --dport 123 -j ACCEPT
COMMIT
# Completed on Fri Sep 11 23:34:54 2015
###############################################
:wq保存退出, 重启防火墙使配置生效
3:/etc/init.d/iptables restart

   2:firewalld

ps -ef |grep firewall
service firewalld status
service firewalld stop/start/restart


三:更改默认ssh 22端

vim /etc/ssh/sshd_config
Port 12111        #掉#Port 22一行开头的#号 把22改成12111  这时要在安全组加对应的端口配置
service sshd restart        #重启服务
netstat -natlp        #检查 ssh服务是否侦听到了新端口


四:创建非根用户

useradd test
passwd  test


五:使用SSH密钥对认证

    密钥对认证:本地设备创建一对密钥,其中一个是私钥(保存在本地设备中),另一个是公钥(传到远程服务器中),之所以叫密钥对,是因为使用公钥加密的消息自能使用对应的私钥来解密。

    使用SSH密钥对认证方式登录远程设备时,远程设备会随机创建一个消息,使用公钥加密,然后把密文发给本地设备。本地设备收到密文后使用私钥解密,然后把解密后的消息发送给远程服务器,远程服务器验证解密后的消息之后,再赋予你访问的服务器的权限。

    下面例子是:window下xshell生成的密钥对  linux下是用命令生成原理一样的

    1:生成密钥

        时光疯子博客

    2:把生成的公钥上传到服务器进行配置

mkdir ~/.ssh
touch ~/.ssh/authorized_keys
cd ~/.ssh
rz   xxx.pub                                     #上传密钥文件到指定目录
cat xxx.pub >> authorized_keys
chown -R test:test ~/.ssh
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys


六:禁用密码,禁用根用户登录

vim /etc/ssh/sshd_config
PasswordAuthencation no            #禁用密码
PermitRootLogin  no                     #禁用根用户登录
service sshd restart                        #重启服务


白俊遥博客
请先登录后发表评论
  • 最新评论
  • 总共0条评论