Linux VPSシステムセキュリティ設定の基本チュートリアル

Linuxシステムは Windows
より安全ですが、いくつかの簡単なセキュリティ設定も必要です。インターネット上には、管理者パスワードをスキャンするために辞書を使用するツールが数多くありますが、問題が発生し、解読される可能性が高くなります。

今日は、Linux VPSシステムのセキュリティ設定に関するいくつかの経験を紹介します。

まず、ユーザー権限のセキュリティ設定

root権限が高すぎ、悪用は非常に危険です。そのため、日常の操作では通常のアカウントを使用し、suを使用してroot IDに切り替えます。

1、chendexinなどの新しいユーザーを作成します。

useradd chendexin

2、root123などのパスワードを変更します。

passwd root123

3アカウントをwheelグループに追加します。

usermod -G wheel chendexin

4.このグループのアカウントのみを設定しますsuコマンドでrootに切り替えます。

vim /etc /pam .d /su

#auth required pam_wheel.so use_uid

行の先頭にあるコメント＃を削除してから：wqを使用して保存して終了します。

の後にvim /etc /loginを入力します。 Defs

末尾にSU_WHEEL_ONLY yesを追加し、wqを使用して保存して終了します。

Ps：echo" SU_WHEEL_ONLY yes">> /etc/login.defsを実行します。

さて、あなたが新しい通常のアカウントを作成した場合、あなたはrootグループに切り替えるためにsuコマンドを使用することはできません。

5.不要なユーザーとユーザーグループを削除します。

OS自体によって開始され、不要なデフォルトアカウントをすべて無効にします。攻撃を受けやすくなります。

userdel adm

userdel lp

userdelの同期

userdelのシャットダウン

userdelの停止

userdelのニュース

userdel uucp

userdelオペレータ

userdelゲーム

userdel gopher

userdel ftp

groupdel lp

groupdelニュース

groupdel uucp

groupdelゲーム

groupdel dip

groupdel pppusers

6、パスワードファイルのロック

chattrコマンドを実行して、権限のないユーザーがアクセスできないように、変更不可能な属性を次のファイルに追加します。
BASICchattr + i /etc /passwdchattr + i /etc /shadowchattr + i /etc /groupchattr + i /etc /gshadow

次に、SSHセキュリティ設定（SSHポートの変更）

デフォルトのSSH 22個のポートを使用することはよく知られているので、私たちだけが知っているポート番号をカスタマイズし、悪意のあるポートをスキャンすることの難しさを増す必要があります。 > Ps：変更する前に、iptables -nLを実行して、ファイアウォールが22/80以外のアクセス制限ルールを設定していないことを確認してください。

vim /etc /ssh /sshd_config SSH設定ファイルを編集します。

01、＃Port 22を見つけ、##を削除し、下にPort 23212を追加します（最初に22個のポートを残し、23212が正常に接続するまで待ちます）。次に22を削除し、保険契約を解除します。

02、＃UseDNSを見つけてはい、UseDNSをいいえに変更し、sshの接続速度を向上させることができます。

03、#PermitRootLoginを見つけてYesをPermitRootLoginに変更します。 rootリモート使用sshログイン

04、#PermitEmptyPasswords noの検索、##の削除、空のパスワードログインの無効化

最後に：wqを使用して保存して終了し、次にsshサービスを再起動してsshサービスを再起動します。効果的です。

この時点で、新しい端末を開き、ポート23212を介して接続できるかどうかをテストできます。可能であれば、以前に予約したポート22を削除します。

3、ファイアウォールの簡単なセキュリティ設定

VPSはパブリックネットワークIPを直接使用していますが、ファイアウォールはまだ設定する必要があります。

次の計画は次のとおりです。

これはWebサーバーとしてのみ使用されるため、SSHおよびHTTPポートを開くだけで済みます。つまり、上記で定義したポート23212および80が開かれている限り例に記載されているポート番号21はありませんので、実際の使用方法に注意してください。

1、準備作業

ファイアウォールを操作すると誤操作の危険性があるため、それ自体がブロックされる可能性があるため、ファイアウォールを操作する前にまずファイアウォールを設定する必要があります。次のようなタスクをスケジュールします。

crontab -eを実行します。参加：
BASIC * /5 * * * root /etc/init.d/iptables stop

は、5分ごとにファイアウォールを停止することを意味します。誤操作を防止すると、誤操作があっても5分以内に停止し、悲劇を引き起こすことはありません。

2、ファイアウォール設定スクリプト

次のコードは私のテストです。気軽に使用してください、ポリシーの説明：

01、オープンHTTP（80）とSSH（自動的に）港を取り、他はアクセスを拒否します！ FTPポート21やsmtp25ポートなど、実際のニーズに応じて10行目に他のポートを追加できます。

02、一方向の禁止されたping設定、つまり外部IPはあなたの公衆ネットワークIPにpingを実行することができません。

戦略コード：
BASIC＃！/bin /bashssh_port = `netstat -nutlp