1.修改sshd伺服器的配置檔案/etc/ssh/sshd_config,將部分引數參照如下修改,增強安全性。
port 6688
系統預設使用22號埠,將監聽埠更改為其他數值(最好是1024以上的高階口,以免和其他常規服務埠衝突),這樣可以增加入侵者探測系統是否執行了sshd守護程序的難度。
listenaddress 192.168.0.1
對於在伺服器上安裝了多個網絡卡或配置多個ip位址的情況,設定sshd只在其中乙個指定的介面位址監聽,這樣可以減少sshd的入口,降低入侵的可能性。
permitrootlogin no
注意: 在設定之前,請給與其他使用者root許可權。步驟如下:
方法二: 修改 /etc/sudoers 檔案,找到root一行,在root下面新增一行,如下所示:## allow root to run any commands anywhere
root all=(all) all
tommy all=(all) all
修改完畢,現在可以用tommy帳號登入,然後用命令 sudo su - ,即可獲得root許可權進行操作。
如果允許使用者使用root使用者登入,那麼黑客們可以針對root使用者嘗試暴力破解密碼,給系統安全帶來風險。
permitemptypasswords no
允許使用空密碼系統就像不設防的堡壘,任何安全措施都是一句空話。
allowusers user01 user02
只允許指定的某些使用者通過ssh訪問伺服器,將ssh使用許可權限定在最小的範圍內。
allowgroups sshgroup1
同上面的allowusers類似,限定指定的使用者組通過ssh訪問伺服器,二者對於限定訪問伺服器有相同的效果。
protocol 2
禁止使用版本1協議,因為其存在設計缺陷,很容易使密碼被黑掉。
禁止所有不需要的(或不安全的)授權認證方式。
x11forwarding no
關閉x11forwarding,防止會話被劫持。
maxstartups 5
2.修改sshd伺服器的配置檔案/etc/ssh/sshd_config的讀寫許可權,對所有非root使用者設定唯讀許可權,防止非授權使用者修改sshd服務的安全設定。
chmod 644 /etc/ssh/sshd_config
3.盡量關閉一些系統不需要的啟動服務。系統預設情況下啟動了許多與網路相關的服務,因此相對應的開放了許多埠進行listening(監聽)。我們知道,開放的埠越多,系統從外部被入侵的可能也就越大,所以我們要盡量關閉一些不需要的啟動服務,從而盡可能的關閉埠,提供系統的安全性。
4.重啟 sshd
service sshd restart
LANMP安全配置之MySQL安全配置
上週學習了一下lanmp安全配置之apache安全配置 用的最多的資料庫就是mysql了 所以這周繼續學習一下mysql安全配置 還是參考 php web安全開發實戰 一書,再做一些補充 安裝成功後第一件事就是改root預設密碼,然後設定複雜密碼 在了解許可權分配之前 先了解以下mysql下的幾個控...
LANMP安全配置之Nginx安全配置
比起前幾篇的apache安全配置 php安全配置 mysql安全配置,對nginx的了解巨少,沒怎麼用過除了知道nginx解析漏洞就啥也不知道了 好了,開始學習 1.1 更改預設使用者名稱 nginx預設nobody,可更改預設使用者名稱防止他人利用 1.2 新增使用者 1 新增組 groupadd...
LANMP安全配置之MySQL安全配置
上週學習了一下lanmp安全配置之apache安全配置 用的最多的資料庫就是mysql了 所以這周繼續學習一下mysql安全配置 還是參考 php web安全開發實戰 一書,再做一些補充 安裝成功後第一件事就是改root預設密碼,然後設定複雜密碼 在了解許可權分配之前 先了解以下mysql下的幾個控...