1 ssh 登陸安全設定
修改 ssh 配置檔案
vim /etc/ssh/sshd_config
#修改以下幾項
Port 10000
#更改SSH端口,最好改為10000以上,别人掃描到端口的機率也會下降。防火牆要開放配置好的端口号,如果是阿裡雲伺服器,你還需要去阿裡雲背景配置開發相應的端口才可以,否則登不上哦!如果你覺得麻煩,可以不用改
Protocol 2
#禁用版本1協定, 因為其設計缺陷, 很容易使密碼被黑掉。
PermitRootLogin no
#嘗試任何情況先都不允許 Root 登入. 生效後我們就不能直接以root的方式登入了,我們需要用一個普通的帳号來登入,然後用su來切換到root帳号,注意 su和su - 是有一點小小差別的。關鍵在于環境變量的不同,su -的環境變量更全面。
PermitEmptyPasswords no
#禁止空密碼登陸。
重新開機服務生效
service sshd restart
2 使用者管理權限設定
使用者基本操作
檢視使用者清單:cat /etc/passwd
檢視組清單:cat /etc/group
檢視目前登陸使用者:who
檢視使用者登陸曆史記錄:last
删除系統預設的不必要的使用者群組,避免被攻擊:
userdel sync
userdel shutdown
# 需要删除的多餘使用者共有:sync shutdown halt uucp operator games gopher
groupdel adm
groupdel games
# 需要删除的多餘使用者組共有:adm lp games dip
Linux 中的帳号和密碼是依據 /etc/passwd 、/etc/shadow、 /etc/group 、/etc/gshadow 這四個文檔的,是以需要更改其權限提高安全性:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
如果還原,把 +i 改成 -i , 再執行一下上面四條指令。
注:i 屬性:不允許對這個檔案進行修改,删除或重命名,設定連結也無法寫入或新增資料!隻有 root 才能設定這個屬性。
3 新使用者權限設定
建立新使用者指令:adduser username
更改使用者密碼名:passwd username
個人使用者的權限隻可以在本 home 下有完整權限,其他目錄要看别人授權。
而經常需要 root 使用者的權限,這時候 sudo 可以化身為 root 來操作。
我記得我曾經 sudo 建立了檔案,然後發現自己并沒有讀寫權限,因為檢視權限是 root 建立的。
sudoers 隻有隻讀的權限,如果想要修改的話,需要先添加 w 權限:chmod -v u+w /etc/sudoers 然後就可以添加内容了,在下面的一行下追加新增的使用者:wq 儲存退出,這時候要記得将寫權限收回:chmod -v u-w /etc/sudoers
4 賦予 root 權限
- 方一:修改 /etc/sudoers 檔案,找到下面一行,把前面的注釋(#)去掉
## Allows people in group wheel to run all commands
# 去掉下面一句的前面的注釋 #
%wheel ALL=(ALL) ALL
# 然後修改使用者,使其屬于root組(wheel),指令如下:
# usermod -g root uusama
修改完畢,現在可以用 uusama 帳号登入,然後用指令 su – ,即可獲得 root 權限進行操作。
- 方二(推薦):修改 /etc/sudoers 檔案,找到下面一行,在 root 下面添加一行,如下所示:
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
uusama ALL=(ALL) ALL
修改完畢,現在可以用 uusama 帳号登入,然後用指令 sudo -s ,即可獲得 root 權限進行操作。
- 方三:修改 /etc/passwd 檔案,找到如下行,把使用者 ID 修改為 0 ,如下所示:
uusama:x:500:500:tommy:/home/uusama:/bin/bash
# 修改後如下
uusama:x:0:500:tommy:/home/uusama:/bin/bash
儲存,用 uusama 賬戶登入後,直接擷取的就是 root 帳号的權限。
5 禁止系統響應任何從外部 / 内部來的 ping 請求
echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all
其餘的設定為0.