注意:此教程的云服务器以centos7以上为例,云服务器于阿里云购买
其他服务商的云服务器配置大同小异
建议:linux的服务器不建议安装图形化工具,因为占内存,占带宽,占资源,弊远大于利
手动更新系统:
yum -y update
防火墙配置:
service firewalld start //启动防火墙
systemctl enable firewalld.service //开机自启
selinux配置:
vim /etc/selinux/config
修改:
SELINUX=enforcing //设置强制模式
reboot //重启生效
ssh配置:(防暴力破解)
useradd normal //创建一个系统用户,设置只能通过这个用户远程登录系统
vim /etc/ssh/sshd_config
修改:
Port 2000 //端口必须大于1024
Protocol 2 //没有的话就添加,有就不用
PermitEmptyPasswords no //禁止空密码登录
X11Forwarding no //禁止端口转发
PermitRootLogin no //禁止root用户登录
MaxAuthTries 3 //允许三次尝试
LoginGraceTime 20 //在20秒内不能完成登录,则断开连接
AllowUsers normal //添加,只允许这个用户远程登录
保存退出,重启ssh
service sshd restart
防火墙开启ssh端口
firewall-cmd –zone=public –add-port=2000/tcp –permanent
firewall-cmd –reload
selinux开启ssh端口
yum -y install policycoreutils-python //安装selinux端口管理工具
semanage port -a -t ssh_port_t -p tcp 2000 //添加端口
semanage port -l |grep ssh //查看selinux开启的ssh端口
service sshd restart
防止IP SPOOF攻击
vim /etc/host.conf
末尾添加
nospoof on
禁止被ping
vim /etc/sysctl.conf
有则修改,无则添加
net.ipv4.icmp_echo_ignore_all=0
保存配置
sysctl -p
防火墙禁止被ping
firewall-cmd –permanent –add-rich-rule=’rule protocol value=icmp drop’
firewall-cmd –reload
注意:也可以在阿里云控制台的安全组规则,删除允许ICMP协议的规则
每十多天更新一次系统,删除没有用到的软件,清除yum缓存
crontab -e
以下内容按需修改
0 0 */10 * * yum update -y
0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all
防火墙禁止端口扫描(centos7无效,端口还是被扫描出来了,不知道centos7以下是否生效)
iptables -F #清除防火墙策略
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp –tcp-flags SYN,SYN –dport 80 -j Drop
卸载阿里云的云盾(安骑士),因为服务器本来就内存紧张,云盾弊大于利,卸载
wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*
注意:卸载完成后,可以删除以上两个脚
