开启了新的 Linux 服务器后,首要任务是做安全配置。

首先更新:

# ubuntu

sudo apt-get update  # 获取 apt 源的软件列表

sudo apt-get upgrade  # 更新

# centos

sudo yum update  # 获取 apt 源的软件列表

sudo yum upgrade  # 更新

1. 添加新用户

adduser username  # 比 useradd 更友好,会进入交互模式设置家目录、密码等

# 给予 user sudo 权限

usermod -aG wheel username  # CentOS 的 wheel 用户组自动获得 sudo 权限

usermod -aG sudo username   # Ubuntu 的 sudo 用户组拥有 sudo 权限

# 如果 adduser 不能使用,或者没有进入交互模式,就改用下面的方法

useradd username

passwd username  # 进交互模式,设置用户密码

2. 使用 ssh-key 登录

先在本地机器生成密钥对:

ssh-keygen  # 会进入交互模式,可以指定密钥对保存位置与文件名称

接下来需要把公钥追加到远程主机的 $HOME/.ssh/authorized_keys 文件的末尾($HOME 是 user 的家目录,不是 root 的家目录,看清楚了):

# 传输公钥,默认传输 ~/.ssh/id_rsa.pub

 ssh-copy-id  -i path/to/key_name.pub user@host

# 然后在远程主机上执行(修改权限):

chmod 600 ~/.ssh/authorized_keys

这样你就可以使用秘钥登录了:

ssh <username>@<server-ip> -i <rsa_private_key>  # 私钥默认使用 ~/.ssh/id_rsa

# 举例

ssh ubuntu@111.222.333.444 -i ~/.ssh/id_rsa_for_server

如果无法登录,可以继续下一步。(在下一步会允许使用秘钥方式登录)

3. 禁止密码登录,禁止 root 用户远程登录

编辑 ssh 配置文件 /etc/ssh/sshd_config,修改如下:

PermitRootLogin no  # 禁止 root 登录

PasswordAuthentication no  # 禁止密码认证

RSAAuthentication yes  # 允许 RSA 秘钥认证

PubkeyAuthentication yes  # 允许使用公钥认证登录

然后重启 ssh 服务:sudo service sshd restart

4. 打开防火墙,只开启需要使用的端口

旧版的 linux 基本都使用 iptables 做防火墙,但是它配置特别麻烦。新版的 ubuntu 使用 ufw(底层使用 iptables),而 centos 使用 firewall

4.1 ufw

$ sudo apt-get install -y ufw  # 新版 ubuntu 自带

$ sudo ufw default deny  # 默认禁用端口

$ sudo ufw allow ssh   # 允许 ssh,这使用了 /etc/services 内的配置,该配置中 ssh 对应端口 22

$ sudo ufw allow http  # /etc/services 中 http 对应 80 端口

$ sudo ufw allow 443/tcp  # 允许 443 的 tcp 连接

$ sudo ufw --force enable  # 开启防火墙

$ sudo ufw status verbose

现在只开启了 22 80 和 443 端口,其他所有端口都会被禁用。

4.2 firewall

systemctl start  firewalld # 启动

systemctl status firewalld # 或者 firewall-cmd --state 查看状态

systemctl disable firewalld # 停止

systemctl stop firewalld  # 禁用

# 显示服务列表

Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:

firewall-cmd --get-services

# 允许SSH服务通过

firewall-cmd --enable service=ssh

# 禁止SSH服务通过

firewall-cmd --disable service=ssh

sudo firewall-cmd --zone=public --add-port=6379/tcp --permanent

sudo firewall-cmd --reload  # 重载配置

其他 linux 用户相关操作

参考

Linux 远程主机安全配置的更多相关文章

  1. 阿里云服务器Linux CentOS安装配置(三)yum安装mysql

    阿里云服务器Linux CentOS安装配置(三)yum安装mysql 1.执行yum安装mysql命令:yum -y install mysql-server mysql-devel 2.启动mys ...

  2. 在Linux虚拟机下配置tomcat

    1.到Apache官网下载tomcat http://tomcat.apache.org/download-80.cgi 博主我下载的是tomcat8 博主的jdk是1.8 如果你们的jdk是1.7或 ...

  3. 在Linux虚拟机下配置jdk的环境变量

    1.到Oracle公司的官网里下载好jdk,网址 http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133 ...

  4. Linux网络属性配置

    目录 IP地址分类 如何将Linux主机接入到网络中 网络接口的命名方式 ifcfg系列命令 如何配置主机名 如何配置DNS服务器指向 iproute2系列命令 Linux管理网络服务 永久生效配置路 ...

  5. 阿里云服务器Linux CentOS安装配置(零)目录

    阿里云服务器Linux CentOS安装配置(零)目录 阿里云服务器Linux CentOS安装配置(一)购买阿里云服务器 阿里云服务器Linux CentOS安装配置(二)yum安装svn 阿里云服 ...

  6. 阿里云服务器Linux CentOS安装配置(九)shell编译、打包、部署

    阿里云服务器Linux CentOS安装配置(九)shell编译.打包.部署 1.查询当前目录以及子目录下所有的java文件,并显示查询结果 find . -name *.java -type f - ...

  7. 阿里云服务器Linux CentOS安装配置(八)nginx安装、配置、域名绑定

    阿里云服务器Linux CentOS安装配置(八)nginx安装.配置.域名绑定 1.安装nginx yum -y install nginx 2.启动nginx service nginx star ...

  8. 阿里云服务器Linux CentOS安装配置(七)域名解析

    阿里云服务器Linux CentOS安装配置(七)域名解析 1.购买域名 登录阿里云,左侧菜单点击[域名],然后[域名注册],完成域名购买.(一般首年45元) 2.添加域名解析 在域名列表里点击你的域 ...

  9. 阿里云服务器Linux CentOS安装配置(六)resin多端口配置、安装、部署

    阿里云服务器Linux CentOS安装配置(六)resin多端口配置.安装.部署 1.下载resin包 http://125.39.66.162/files/2183000003E08525/cau ...

随机推荐

  1. VisualSVN Server更改SVN版本库存放路径的方法

    来源:http://blog.csdn.net/tcjy1000/article/details/42023849 最近也玩起了SVN软件版本管理,在本机上安装了VisualSVN Server+To ...

  2. c语言描述的数据结构的注意细节

    :顺序表使用基址来表示和存储 int *p; p=(int *)malloc(initsize*sizeof(int)); L—>p[x]=xx; :链表 在于除了更改数据还要更改前后与之关联的 ...

  3. android(eclipse)界面控件以及活动总结(二)

    用户界面以及活动总结: (复习时忘了的特别标记了下划线,补充的用了红色) 1用户界面: ~android:id=""专门用于找到指定界面的索引 如果要在后面的程序中调用该控件,则一 ...

  4. IPv6静态路由、动态路由

    实验涉及命令以及知识补充 IPv6 接口必须配置 IPv6 地址和子网掩码 使用 ipv6 address ipv6-address/prefix-length [link-local | eui-6 ...

  5. C/C++获取CPU等硬件信息&&屏幕截图

    打算练习Socket的时候用用,最近有点小事情,没时间继续完善,先把写的这些代码贴上来,有空了再完善一下. HardwareInfo.h #include <stdio.h> #inclu ...

  6. 最长递增子序列(51Nod - 1134)

    20180604 23:18 https://blog.csdn.net/joylnwang/article/details/6766317(写得很用心,膜拜dalao) 给出长度为N的数组,找出这个 ...

  7. mysql修改登录密码三种方式

    一.用SET PASSWORD命令 首先登录MySQL,使用mysql自带的那个客户端连接上mysql.  格式:mysql> set password for 用户名@localhost = ...

  8. springboot在yml配置文件中配置类的属性笔记

    首先建立一个简单的实体类,我这里以学生为例,并加上@Component和@ConfigurationProperties(prefix ="student")注解,其中prefix ...

  9. MySql学习笔记06

    课程回顾 一对一关联 案例1:查询每个员工的名字和主管领导的名字 select e.ename 员工姓名,m.ename 领导姓名 from emp e join emp m on e.mgr=m.e ...

  10. nginx 安装目录详解

    rpm -ql nginx 路径 类型 介绍 /etc/logrotate.d/nginx  配置文件  Nginx 日志轮转,用于logrotate服务日志切割 /etc/nginx /etc/ng ...