服务器(ECS)的安全策略

安全策略

  1. 配置防火墙 2. 更改默认ssh 22端口 3. 禁止root登录

一:配置防火墙

开启12234(把22换成任意)端口、80端口、3306端口

1:rm -rf /etc/sysconfig/iptables

2:vi /etc/sysconfig/iptables

################################ 添加好之后防火墙规则如下所示
*filter
:INPUT DROP [7:709]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12234 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80:3306 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -j ACCEPT
-I INPUT -p udp -m udp --sport 123 -j ACCEPT
-I OUTPUT -p udp -m udp --dport 123 -j ACCEPT
COMMIT
# Completed on Fri Sep 11 23:34:54 2015
###############################################
:wq保存退出, 重启防火墙使配置生效

3:/etc/init.d/iptables restart
ps注意

结果,在一次无意间,发现了ECS有一个安全组规则,可以设置进站和出站的端口

点击进去一看,果然,里面默认开启了22端口的进站规则,于是,尝试把2212端口也打开

保存之后,再用xshell连接服务器

二:更改默认ssh 22端

  1. vi /etc/ssh/sshd_config文件,去掉#Port 22一行开头的#号,

  2. 将Port 由22改为自定义的端口(比如12234),并保存该文件

  3. 重启sshd服务 service sshd restart

    如果是debian或ubuntu系统则使用 service ssh restart

  4. 通过netstat -natlp 检查 ssh服务是否侦听到了新端口。

    ps: 如果您开启了防火墙,您需要在防火墙上放行对应的远程端口,以免修改端口后无法远程。

三:禁止root登录

  1. 添加用户

useradd test
passwd  test
  1. vi /etc/ssh/sshd_config

    修改PermitRootLogin 后面的yes 为 no,并且去掉前面的注释符

  2. /etc/init.d/ssh restart 或 service sshd restart,

    此时再用root用户登录,如果不能登陆则代表配置成功。如果需要使用root权限,可以使用su/sudo进行切换


白俊遥博客
请先登录后发表评论
  • 最新评论
  • 总共0条评论