线上服务器网络安全配置与系统登陆安全配置| 学习笔记

简介: 快速学习线上服务器网络安全配置与系统登陆安全配置。

开发者学堂课程【线上Linux服务器优化经验线上服务器网络安全配置与系统登陆安全配置】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址:https://developer.aliyun.com/learning/course/382/detail/4799


线上服务器网络安全配置与系统登陆安全配置


内容简介

一、网络安全配置

1.Selinux 配置(如何关闭 selinux)

2.iptables 配置

二、系统登录安全与 SSH 配置

1.授权用户登录与 sudo 设定(提升用户使用权限)

2.ssh 安全登录经验

 

一、网络安全配置

1.Selinux 配置(如何关闭 selinux)

系统安装完之后直接关闭Selinux,避免出现问题。

image.png

cat  /etc/selinux/config(查找 Selinux)

SELINUX 的状态(参数):

enforcing 开启状态

permissive 提醒的状态

disabled 关闭状态

命令行关闭:setenforce 0

改完配置文件 disabled,变成关闭状态,但现在是没有生效的,所以我们需要把服务器重启才能生效。

如果不想重启还有一种方法就是执行命令 setenforce 0,通过这个命令可以对Selinux 关闭了。我们的业务也就正常了。

2.iptables 配置

也叫软件防火墙,这个是根据我们需要设置的。

/etc/sysconfig/iptables

推荐配置:

在配置 iptables 时,首先确认一下 iptables 是否是打开状态,如果没有打开,我们是要把它打开的。

打开之后我们可以发现其实 iptables 是由三个链组成的 INPUT  AINPUT  P INPUT 。

最常用的还是 INPUT 链,这个链其实它是对出入的连接做一个限制。INPUT对外面的访问请求做限制。

如果远程控制,iptables -P INPUT ACCEPT 要完全打开,如果没有打开,可能就直接连不上服务器了,被关到门外面去了。

iptables -P INPUT ACCEPT(要完全打开)

iptables -F

iptables -AINPUT(链)-p tcp-m tcp--dport 80(服务器端口)-jACCEPT(对所有人员开放)

Iptables-AINPUT-s1.1.1.1 -p tcp -m tcp--dport 22 -j ACCEPTiptables-AINPUT-s2.2.2.2 -p tcp-m tcp--dport22-jACCEPT

iptables -AINPUT -i eth1 -jACCEPT

iptables -AINPUT-i lo -jACCEPT

iptables -AINPUT-m state--state RELATED,ESTABLISHED -j

ACCEPT

iptables-A INPUT-p tcp-m tcp--tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -jDROP

iptables -A INPUT-p tcp-m tcp--tcp-flags FIN,SYN FIN,SYN -j DROP

iptables -A INPUT-p tcp-m tcp--tcp-flags SYN,RST SYN,RST -j DROP

iptables -A INPUT-p tcp -m tcp--tcp-flags FIN,RST FIN,RST -j DROP

iptables -A INPUT-p tcp-m tcp--tcp-flags FIN,ACK FIN -j DROP

iptables -A INPUT-p tcp-m tcp--tcp-flags PSH,ACK PSH -j DROP

iptables -A INPUT-p tcp-m tcp--tcp-flags ACK,URG URG -j DROP

iptables -  DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

查看 iptables 策略:

最好指定 IP

允许某些 IP 开放,其他全部禁止

Iptables-L-n(命令,查看防火墙策略)

 

二、系统登录安全与 SSH 配置

1.授权用户登录与sudo设定(提升用户使用权限)

一般在服务器安装完成之后,建议不管管理员也好,开发人员也好,测试人员也好,都不建议给 sudo 用户登录,也就是禁止登录。

我们会建一个普通用户来登录系统,然后我们有时候会做一些管理员的工作,这时候就关系到授权用户,包括权限提升,类似于 sudo 操作。

具体操作在 /etc/sudoers 里面做一些操作。

设置一些权限

/etc/sudoers文件

=  

常见配置:

Iiveylinux  ALL=(ALL)  NOPASSWD:ALL

2.ssh 安全登录经验

备份:cp/etc/ssh/sshd_config sshd_config_bak (运维必备守则)必须做备份

vi /etc/ssh/sshd_config(SSH配置文件)

#SSH 链接默认端口

#不使用 DNS 反查,可提高 ssh 连接速度

UseDNS no(是否使用 DNS 反查)

#关闭 GSSAPI 验证,可提高 ssh 连接速度

GSSAPIAuthentication no(没有太大作用,建议关闭掉)

#禁止root账号登陆

PermitRootLogin no(默认是 yes,我们把它改成 no 就可以)可以提高安全程度

关于端口问题,默认连接端口是 Port 22 ,就是2端口,这个其实是有危险的,为了安全起见我们可以把2端口改掉,

比如改成 Port 2222 用四位以上的,建议设置比较高的。

相关文章
|
12天前
|
安全 网络安全 数据安全/隐私保护
|
17天前
|
机器学习/深度学习 人工智能 运维
企业内训|LLM大模型在服务器和IT网络运维中的应用-某日企IT运维部门
本课程是为某在华日资企业集团的IT运维部门专门定制开发的企业培训课程,本课程旨在深入探讨大型语言模型(LLM)在服务器及IT网络运维中的应用,结合当前技术趋势与行业需求,帮助学员掌握LLM如何为运维工作赋能。通过系统的理论讲解与实践操作,学员将了解LLM的基本知识、模型架构及其在实际运维场景中的应用,如日志分析、故障诊断、网络安全与性能优化等。
43 2
|
23天前
|
存储 安全 数据可视化
提升网络安全防御有效性,服务器DDoS防御软件解读
提升网络安全防御有效性,服务器DDoS防御软件解读
36 1
提升网络安全防御有效性,服务器DDoS防御软件解读
|
10天前
|
存储 关系型数据库 MySQL
查询服务器CPU、内存、磁盘、网络IO、队列、数据库占用空间等等信息
查询服务器CPU、内存、磁盘、网络IO、队列、数据库占用空间等等信息
175 1
|
2天前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与应对策略
【10月更文挑战第33天】在数字化转型的浪潮中,云计算作为支撑现代企业IT架构的核心,其安全性成为业界关注的焦点。本文从云计算服务的基本概念出发,探讨了云环境下的网络安全风险,并分析了信息安全的关键技术领域。通过对比传统网络环境与云端的差异,指出了云计算特有的安全挑战。文章进一步提出了一系列应对策略,旨在帮助企业和组织构建更为坚固的云安全防护体系。最后,通过一个简化的代码示例,演示了如何在云计算环境中实施基本的安全措施。
|
27天前
|
网络协议 安全 网络安全
Cisco-网络端口地址转换NAPT配置
Cisco-网络端口地址转换NAPT配置
|
29天前
|
存储 安全 网络安全
云计算与网络安全的融合之路:探索云服务的安全边界
【10月更文挑战第6天】随着云计算技术的飞速发展,越来越多的企业和个人选择将数据和应用迁移到云端。然而,随之而来的网络安全问题也日益凸显。本文将从云计算的基础概念入手,探讨云服务中的网络安全挑战,并提出相应的信息安全策略。文章旨在为读者提供一个关于如何在享受云计算便捷的同时,保障数据安全和隐私保护的全面视角。
|
17天前
|
存储 缓存 Ubuntu
配置网络接口的“IP”命令10个
【10月更文挑战第18天】配置网络接口的“IP”命令10个
44 0
|
23天前
|
安全 区块链 数据库
|
25天前
|
存储 安全 网络安全
云计算与网络安全:构建安全的数字基石
【10月更文挑战第10天】 在当今数字化时代,云计算已成为推动企业创新和效率的关键驱动力。然而,随着数据和业务向云端迁移,网络安全问题变得日益突出。本文将探讨云计算与网络安全的融合,分析云服务中的主要安全挑战,并讨论如何通过先进的信息安全技术来应对这些挑战。我们将重点关注加密技术、访问控制、安全审计以及云服务提供商(CSP)的角色,以构建一个安全可靠的云计算环境。