共计 2464 个字符,预计需要花费 7 分钟才能阅读完成。
众所周知,Linux 服务器的安全是网络运行的基础之一,只有做好了安全,我们的网站或项目才能顺利稳定运行。当然,centos7 安全相关设置有很多,我们可以通过 Centos 系统创建用户名密码、配置 ssh 安全端口、设置防火墙及系统安全等环境配置。今天,小编就详细介绍一下 centos7 下面的一些常见安全设置吧!
centos7 安全相关设置
初始化及软件安装
## 固定 IP 地址
## 关闭 SELINUX
[root@c72 ~]# vim /etc/selinux/config
SELINUX=disabled
## 更改主机名,让 hosts 文件与当前主机名保持对应关系
echo bre_sch > /etc/hostname
[root@c72 ~]# vim /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 bre_sch
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 bre_sch
# 关闭 firewalld,后面的防火墙设置使用 iptables
systemctl stop firewalld
systemctl disable firewalld
## 软件安装
cd /etc/yum.repos.d/
rm -rf ./*
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum-config-manager –add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum makecache fast
yum -y install docker-ce wget curl vim lrzsz nmap cifs-utils samba-client nfs-utils samba openssh iptables-services
yum install -y wget yum-utils device-mapper-persistent-data lvm2 net-tools
systemctl start docker
systemctl enable docker
user& 密码
## 创建单独的登录用户,并设置满足复杂性要求
useradd bresee ; echo 123456 | passwd –stdin bresee
ssh 安全设置
## ssh 连接加速,不允许反向解析
UseDNS no
## 不允许 root 直接登录,仅允许普通用户登录
PermitRootlogin no
## 更改端口为 7777
Port 7777
## SSH 登录连续输错五次密码,账号锁定 30 秒
vi /etc/pam.d/sshd
auth required pam_tally2.so deny=5 unlock_time=30
systemctl restart sshd
防火墙设置
仅开放了 ssh、http 和 https 三种服务
# 清空规划
iptables -F
# 开启 80
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –sport 80 -j ACCEPT
# 开启 443
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
iptables -A INPUT -p tcp –sport 443 -j ACCEPT
## 开启 ssh 侦听的 7777
iptables -A INPUT -p tcp –dport 7777 -j ACCEPT
iptables -A INPUT -p tcp –sport 7777 -j ACCEPT
## 开启 ICMP
iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 0 -j ACCEPT
## 开启 DNS
iptables -A INPUT -p udp –dport 53 -j ACCEPT
iptables -A INPUT -p udp –sport 53 -j ACCEPT
# 默认拒绝所有
iptables -P INPUT DROP
# 保存
service iptables save
# 开机启动
systemctl enable iptables.service
# 开启服务
systemctl start iptables.service
# 查看状态
systemctl status iptables.service
系统安全设置
———————————————-# 设置 grub 密码
## 生成密码 *Ab123456
grub2-mkpasswd-pbkdf2
## 在 /etc/grub.d/00_header 引用密码
vim /etc/grub.d/00_header
cat <
set superusers=’root’
password_pbkdf2 root grub.p54CBD4341FC4A71B90E543581646B4E7EAE920C54A
E0F
## 重新生成
grub2-mkconfig -o /boot/grub2/grub.cfg
————————————- 禁止 control+alt+delete 键盘重启系统
mv /usr/lib/systemd/system/ctrl-alt-del.target /tmp
————————————-history 带时间参数和 30 秒超时设置
vim /etc/profile
# history 带时间
export HISTTIMEFORMAT=”%Y-%m-%d %H:%M:%S `whoami` “
# 设置 30 秒内用户无操作就字段断开终端
export TMOUT=30
服务器机箱
服务器硬件加封,防止拆机箱;
BIOS 和管理口加密,防止有人重装系统;
![Frank#smith[Kfyzeiuqujbpygze,2,5]](https://cravatar.cn/avatar/ebd2642d86a4b40100d29dc76ec89b0d?s=96&d=monsterid&r=r)