Centos 初级安全防护

使用的 centos7.2，基本策略如下：

禁止 root 账号远程登录

修改远程 ssh 登录端口

开启防火墙 iptables

如何禁止 root 账户远程登录，修改远程 ssh 端口和开启 iptables 的。具体思路是这样:

禁止 root 账号远程登录

一。首先创建一个可供远程登录的账号

例如：example 账号，输入命令：

adduser example

二。设置 example 密码

输入命令：

passwd example

系统会提示：

New password：输入并重复输入你设置的密码后系统会提示你

passwd: all authentication tokens updated successfully.

三。禁止 root 账户登录

输入命令：

vim /etc/ssh/sshd_config

修改 ssh 配置文件

将 PermitRootLogin yes 修改为 PermitRootLogin no

修改后就完成了第一步，禁止 root 账号登录密码，且还有一个账号可供自己 ssh 远程登录，但是需要记住，修改完配置文件之后需要重启 sshd 服务

service sshd restart

修改远程 ssh 登录端口

这个比较简单，同样在 /etc/ssh/sshd_config 文件下改

vim /etc/ssh/sshd_config

将 port 前面的# 去除

#port 22 修改为 port 2233

修改配置文件必须重启 sshd 服务才能生效，这一步先不要急着重启服务，因为你不知道你的 iptables 时候是开启，如果是开启状态，因为你没有将刚刚设置的端口设置为开启，会导致自己都无法 ssh 远程连接服务器。

开启防火墙 iptables

清楚防火墙原来规则

iptables -F

保存防火墙配置

service iptables save

停止防火墙

service iptables stop

开放 ssh 防火墙

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

开放 http 防火墙

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

开放数据库防火墙规则

iptables -A INPUT -s 192.168.3.0/24 -p tcp --dport 3306 -j ACCEPT

开放回环地址访问规则

iptables -A INPUT -i lo -j ACCEPT

开放 ping 防火墙规则

iptables -A INPUT -p icmp -j ACCEPT

开放 vrrp 防火墙规则

iptables -A INPUT -p vrrp -j ACCEPT

开放防火墙规则

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

防火墙进来默认规则为 drop

iptables -P INPUT DROP

防火墙出去默认规则为 drop

iptables -P OUTPUT ACCEPT

保存防火墙配置

service iptables save

重启防火墙

service iptables restart

到此，基本 linux 安全防护已经做完，对于一般的小型服务器已经足够，个人站长从此不需要担心黑客的骚扰了。