Centos6入手之后应该做的几件事

January 9, 2018 by Funsoul,

首先新增iptabales,文章见CentOS6.5下无/etc/sysconfig/iptables文件

然后修改SSH默认端口,文章见:Centos修改默认SSH端口.

禁止root直接登录

useradd username #新建用户
passwd password #创建密码
vi /etc/ssh/sshd_config #修改配置文件,
PermitRootLogin yes #找到此行并将yes修改为no,去掉#注释.
service sshd restart #重启sshd服务

注释掉系统不需要的用户
cp /etc/passwd /etc/passwdbak #修改之前先备份
vi /etc/passwd #编辑用户,在前面加上#注释掉此行


#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin    #注释掉ftp匿名账号 

注释掉不用的用户组

cp /etc/group /etc/groupbak #修改之前先备份
vi /etc/group #编辑用户组,在前面加上#注释掉此行

#adm:x:4:root,adm,daemon
#lp:x:7:daemon,lp
#uucp:x:14:uucp
#games:x:20:
#dip:x:40:

禁止非root用户执行/etc/rc.d/init.d/下的系统命令

chmod -R 700 /etc/rc.d/init.d/*
chmod -R 777 /etc/rc.d/init.d/*    #恢复默认设置

防止非授权用户获得权限.(注:如需要宝塔面板,请先开启权限,不然无法新建用户会导致apache以及mysql无法正常启动)

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services    #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务  
lsattr  /etc/passwd   /etc/shadow  /etc/group  /etc/gshadow   /etc/services   #显示文件的属性 

注意:执行以上权限修改之后,就无法添加删除用户了。
如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作

chattr -i /etc/passwd     #取消权限锁定设置
chattr -i /etc/shadow
chattr -i /etc/group
chattr -i /etc/gshadow
chattr -i /etc/services   #取消系统服务端口列表文件加锁

修改history命令记录(修改为50有助于后期排除是否被入侵.)

cp /etc/profile   /etc/profilebak
vi /etc/profile
#找到 HISTSIZE=1000 改为 HISTSIZE=50

服务器禁ping

cp  /etc/rc.d/rc.local  /etc/rc.d/rc.localbak 
vi  /etc/rc.d/rc.local        #在文件末尾增加下面这一行
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

安装Htop.

wget http://dl.fedoraproject.org/pub/epel/6/x86_64/Packages/h/htop-1.0.3-1.el6.x86_64.rpm

rpm -ivh htop-1.0.3-1.el6.x86_64.rpm

宝塔面板安全配置

宝塔面板安装完之后默认是root权限可以遍历根目录,虽然宝塔在根目录下面设置了请不要花样作死这种基本操作,但是一旦被入侵,他就可以Kill掉除根目录文件夹下面的所有的文件夹,当然也包括我们的网站目录。so..我们就需要一点奇门异术来保护我们的面板,宝塔给了几项操作,指定域名、指定IP以及端口,在生产环境中这几项都能防止别人找到你的后台,可是这样其实还是有一定危险,因为如果不小心被泄漏就会出现严重后果.

hosts大法

这里我利用的是宝塔自带的域名绑定机制,先行修改hosts,Windows的hosts目录在C:\Windows\System32\drivers\etc(Linux详情请谷歌.)
如图修改,最终代码如下所示。

baota1.jpg

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#    127.0.0.1       localhost
#    ::1             localhost
10.10.10.182 123.com(IP绑定你的服务器IP,域名你想哪个就哪个,前提是宝塔面板也要绑定.)

修改完成后,Ping一下看看IP是否更改.

baota2.jpg

如果IP已经更改,那么你就可以进入宝塔后台绑定域名了。

最终结果图.

baota3.jpg

7 comments
  1. 冯小贤

    666host绑定域名,没想到这种骚操作

    冯小贤 回复
    1. Echoo

      @冯小贤

      233,骚操作才安全.

      Echoo 回复
    2. Echoo

      @冯小贤

      小贤~小贤~ 能收到邮件吗Over!

      Echoo 回复
      1. 冯小贤

        @Echoo

        收到最后一条over!

        冯小贤 回复
        1. Echoo

          @冯小贤

          我在测试邮件,貌似更新之后邮件响应不及时了.有时候被人收不到邮件.

          Echoo 回复
          1. 冯小贤

            @Echoo

            我的邮箱都是随缘发送的,发信效率很低_(:з)∠)_

            冯小贤
          2. Echoo

            @冯小贤

            我现在也是随缘了啊。就像你回复我这一条我就没有收到。

            Echoo
如需评论,请填写表单。

提交前先勾选

© 2018 | 由 Typecho 强力驱动 | Hucore theme