Linux：安裝完linux後簡單制作一些安全設置

平時我們安裝完CentOS後，很多人直接安裝lnmp一鍵包或yumapache去安裝環境了，而忽略了最簡單的一些基礎安全設置，雖然很多人說linux做服務器安全性高於windows，但是請不要忽略了一些常規安全設置。今天為大家介紹一下安裝完系統我們做的一些簡單的工作


1.配置網卡連接上網 我就不介紹了，這是必須的。
2.如果是國內的，可以先將yum源修改為 163 或sohu的，這樣更新速度會比較快些 然後更新一下系統
cd /etc/yum.repos.d #進入配置目錄mkdir bak #建立一個備份目錄mv *.repo bakwget http://mirrors.163.com/.help/CentOS-Base-163.repo# 導入證書，這裡是64位的rpm --import http://mirrors.163.com/centos/5/os/x86_64/RPM-GPG-KEY-CentOS-5# 生效（不更新內核和發行版）yum makecacheyum --exclude="kernel* centos-release*" update -y退回root目錄cd ~
3.刪除一些默認的用戶及用戶組，將不常用的刪除，畢竟賬戶越多越不安全userdel admuserdel lpuserdel syncuserdel shutdownuserdel haltuserdel newsuserdel uucpuserdel operatoruserdel gamesuserdel gopheruserdel ftpgroupdel admgroupdel lpgroupdel newsgroupdel uucpgroupdel gamesgroupdel dipgroupdel pppusers
4.創建一個普通用戶，用來登陸ssh,而拒絕root用戶直接遠程登陸，確保遠程安全useradd memory #memory為用戶名 根據自己習慣來passwd memory #設置一個密碼 可以復雜點 用來遠程連接用的
然後來配置一下新添加賬號的一些權限 ，只能基本的遠程登陸sed -i "s/#auth required pam_wheel.so use_uid/auth required pam_wheel.so use_uid group=wheel/" /etc/pam.d/suusermod -G10 memory更改特殊文件屬性chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadow# 禁止Ctrl+Alt+Delete重啟命令sed -i -e "s/\(^ca\:\:ctrlaltdel.*$\)/#\1/" /etc/inittab
5.配置一下SSH的相關，禁止root遠程登陸，修改下ssh默認端口
先備份下SSH配置文件

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
將默認22端口建議修改到1000以上
sed -i "s/#Port 22/Port 9999/" /etc/ssh/sshd_config
不允許root用戶直接登錄

sed -i "s/#PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config
不允許空密碼登錄

sed -i "s/#PermitEmptyPasswords no/PermitEmptyPasswords no/" /etc/ssh/sshd_configsed -i "s/#MaxAuthTries 6/MaxAuthTries 6/" /etc/ssh/sshd_config
6.配置一下 iptables 規則
先清空現有規則


iptables -Fiptables -Xiptables -Ziptables -A INPUT -p tcp -m multiport --dport 9999,80 -j ACCEPTiptables -I INPUT 2 -i lo -p all -j ACCEPTiptables -A OUTPUT -p udp --dport 53 -j ACCEPTiptables -A INPUT -p udp --sport 53 -j ACCEPTiptables -A INPUT -p udp --dport 53 -j ACCEPTiptables -A OUTPUT -p udp --sport 53 -j ACCEPTiptables -A INPUT -p tcp -m multiport --sport 80 -j ACCEPT
上面9999為你自己的ssh端口，必須的喲 不然你重啟ssh後 小心連接不上了.
重啟一下iptables/etc/init.d/iptables save #保存配置/etc/init.d/iptables restart #重啟 start 啟動 stop 停止
重啟一下ssh 用新的賬號登陸吧. 記得端口9999了喲.
登陸後若要操作root的相關權限 直接su root 切換成root賬號即可


以上方法在 TTVPS 的CentOS系統6.3 32位 64位測試通過。