Linux 伺服器這幾個安全設定必須配置！一定要收藏！

1 ssh 登陸安全設定

修改 ssh 配置檔案

vim /etc/ssh/sshd_config

#修改以下幾項
Port 10000
#更改SSH端口，最好改為10000以上，别人掃描到端口的機率也會下降。防火牆要開放配置好的端口号，如果是阿裡雲伺服器，你還需要去阿裡雲背景配置開發相應的端口才可以，否則登不上哦！如果你覺得麻煩，可以不用改
 
Protocol 2
#禁用版本1協定, 因為其設計缺陷, 很容易使密碼被黑掉。
 
PermitRootLogin no
#嘗試任何情況先都不允許 Root 登入. 生效後我們就不能直接以root的方式登入了，我們需要用一個普通的帳号來登入，然後用su來切換到root帳号，注意 su和su - 是有一點小小差別的。關鍵在于環境變量的不同，su -的環境變量更全面。
 
PermitEmptyPasswords no
＃禁止空密碼登陸。           

重新開機服務生效

service sshd restart           

2 使用者管理權限設定

使用者基本操作

檢視使用者清單：cat /etc/passwd
檢視組清單：cat /etc/group
檢視目前登陸使用者：who
檢視使用者登陸曆史記錄：last           

删除系統預設的不必要的使用者群組，避免被攻擊：

userdel sync
userdel shutdown
# 需要删除的多餘使用者共有：sync shutdown halt uucp operator games gopher
groupdel adm
groupdel games
# 需要删除的多餘使用者組共有：adm lp games dip           

Linux 中的帳号和密碼是依據 /etc/passwd 、/etc/shadow、 /etc/group 、/etc/gshadow 這四個文檔的，是以需要更改其權限提高安全性：

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow


如果還原，把 +i 改成 -i , 再執行一下上面四條指令。

注：i 屬性：不允許對這個檔案進行修改，删除或重命名，設定連結也無法寫入或新增資料！隻有 root 才能設定這個屬性。           

3 新使用者權限設定

建立新使用者指令：adduser username

更改使用者密碼名：passwd username

個人使用者的權限隻可以在本 home 下有完整權限，其他目錄要看别人授權。
而經常需要 root 使用者的權限，這時候 sudo 可以化身為 root 來操作。
我記得我曾經 sudo 建立了檔案，然後發現自己并沒有讀寫權限，因為檢視權限是 root 建立的。
sudoers 隻有隻讀的權限，如果想要修改的話，需要先添加 w 權限：chmod -v u+w /etc/sudoers 然後就可以添加内容了，在下面的一行下追加新增的使用者：wq 儲存退出，這時候要記得将寫權限收回：chmod -v u-w /etc/sudoers           

4 賦予 root 權限

• 方一：修改 /etc/sudoers 檔案，找到下面一行，把前面的注釋（#）去掉

## Allows people in group wheel to run all commands
# 去掉下面一句的前面的注釋 # 
%wheel ALL=(ALL) ALL
# 然後修改使用者，使其屬于root組（wheel），指令如下：
# usermod -g root uusama
           

修改完畢，現在可以用 uusama 帳号登入，然後用指令 su – ，即可獲得 root 權限進行操作。

• 方二（推薦）：修改 /etc/sudoers 檔案，找到下面一行，在 root 下面添加一行，如下所示：

## Allow root to run any commands anywhere
root ALL=(ALL) ALL
uusama ALL=(ALL) ALL
           

修改完畢，現在可以用 uusama 帳号登入，然後用指令 sudo -s ，即可獲得 root 權限進行操作。

• 方三：修改 /etc/passwd 檔案，找到如下行，把使用者 ID 修改為 0 ，如下所示：

uusama:x:500:500:tommy:/home/uusama:/bin/bash
# 修改後如下
uusama:x:0:500:tommy:/home/uusama:/bin/bash
           

儲存，用 uusama 賬戶登入後，直接擷取的就是 root 帳号的權限。

5 禁止系統響應任何從外部 / 内部來的 ping 請求

echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all           

其餘的設定為0.