运维人员服务器的配置可是一个不小的难题:既要保证环境搭建好以供网站能正常运行,又要配置好权限确保服务器的安全,下面就记录一下linux安全设置的一些具体事项。
1、linux服务器安全设置通常有以下一些需要特别注意的安全配置:
1.1、注释掉系统不需要的用户和用户组
注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。 cp /etc/passwd /etc/passwdbak #修改之前先备份 vi /etc/passwd #编辑用户,在前面加上#注释掉此行 #adm:x:3:4:adm:/var/adm:/sbin/nologin #lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin #sync:x:5:0:sync:/sbin:/bin/sync #shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown #halt:x:7:0:halt:/sbin:/sbin/halt #uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin #operator:x:11:0:operator:/root:/sbin/nologin #games:x:12:100:games:/usr/games:/sbin/nologin #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin #ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin #注释掉ftp匿名账号 cp /etc/group /etc/groupbak #修改之前先备份 vi /etc/group #编辑用户组,在前面加上#注释掉此行 #adm:x:4:root,adm,daemon #lp:x:7:daemon,lp #uucp:x:14:uucp #games:x:20: #dip:x:40:
1.2、关闭系统不需要的服务
service acpid stop chkconfig acpid off #停止服务,取消开机启动 #电源进阶设定,常用在 Laptop 上 service autofs stop chkconfig autofs off #停用自动挂载档桉系统与週边装置 service bluetooth stop chkconfig bluetooth off #停用Bluetooth蓝芽 service cpuspeed stop chkconfig cpuspeed off #停用控制CPU速度主要用来省电 service cups stop chkconfig cups off #停用 Common UNIX Printing System 使系统支援印表机 service ip6tables stop chkconfig ip6tables off #禁止IPv6 ########################## 如果要恢复某一个服务,可以执行下面操作 service acpid start chkconfig acpid on
1.3、禁止非root用户执行/etc/rc.d/init.d/下的系统命令
chmod -R 700 /etc/rc.d/init.d/* chmod -R 777 /etc/rc.d/init.d/* #恢复默认设置 系统运维 www.osyunwei.com 温馨提醒:qihang01原创内容©版权所有,转载请注明出处及原文链接
1.4、给下面的文件加上不可更改属性,从而防止非授权用户获得权限
chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow chattr +i /etc/services #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务 lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services #显示文件的属性 注意:执行以上权限修改之后,就无法添加删除用户了。 如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作 chattr -i /etc/passwd #取消权限锁定设置 chattr -i /etc/shadow chattr -i /etc/group chattr -i /etc/gshadow chattr -i /etc/services #取消系统服务端口列表文件加锁 现在可以进行添加删除用户了,操作完之后再锁定目录文件
每个站长刚接触网站建设时,就为了这个倒腾了很久都没有搞定,最后还是换了一个集成了各种功能的全能镜像才得以使网站运行起来。
现在,有了宝塔面板,一切都变得不成问题!云主机 默认安装了宝塔面板。有了宝塔面板配置服务器方便了很多,但随之也产生了安全的问题。为了即安全又方便的使用宝塔面板服务,需要作一些安全设置,以确保安全地使用宝塔面板服务,对一些默认配置进行修改,需要作一些设置以保证网络安全。以下从四个方面修改安全设置:
2、使用宝塔面板服务器,才开户服务如下图
配置完成,在SSH中手动关闭宝塔服务 /# service bt stop
3、修改宝塔面板服务默认端口8888,修改成自己需要的其他端口号:
登录面板以后
点击左侧“安全”;在端口控制中选择“放行端口”,在右侧添加分配给宝塔面板的端口号如12345 在备注中可以备注为“宝塔面板服务端口”;然后点击 “放行”按钮,即可开放新的安全端口
4、设置宝塔面板
登陆后进入宝塔面板我们可以看到如下图所示,你可以选择LNMP或者LAMP进行安装。看大家网站需要什么环境进行选择。如果是生产环境推荐大家使用编译安装,如果只是测试环境选择极速安装。两者的区别是编译安装慢但稳定,极速安装虽然慢但是没编译安装稳定。 如下图: 登录以后,点击左侧“面板设置” 可以修改面板别名 如"张三的管理面板"。 主要的安全设置是修改面板端口,修改默认8888端口为其他你设定的可用端口如:12345。 也可以绑定域名:如果绑定域名,就只能以通过域名进行访问。 设置授权访问IP;指定可以访问宝塔面板的IP地址,其他地址将被禁止访问。 面板用户名:可以设置非常用的admin名称。 面板密码:建议使用数字字母加特殊符号组合不少于8个字符。并定期进行修改,安全起见可以使用工具随机生成高强度的长密码。
4.1,首先我们进入面板设置 宝塔面板安装和使用图文教程
4.2,更改面板端口 将端口更改为不常用的端口,修改为上面设置的端口如:12345。
4.3,绑定域名 你可以绑定一个域名绑定完域名后只能通过你绑定的域名来访问面板。
4.4,绑定ip 如果你有固定的ip,你可绑定ip访问,绑定了ip访问你只能通过绑定得这个ip进行访问。如果你是家用电脑就不要绑定ip了,因为家用电脑的ip是动态的。这就会造成ip发生改变面板访问不了。
4.5,更改默认的面板用户和密码 更改宝塔安装完成时的默认用户名和密码,设置一个自己能记住的用户名和密码,密码不要太简单了。
4.5,绑定宝塔账号 如果你有宝塔账号你可以绑定下,没有的话可以去宝塔官网申请。宝塔账号在购买付费插件,开通专业版时要用到。点击前往注册宝塔账号,领取¥3188的宝塔面板礼包。
4.6,绑定微信小程序 由于微信小程序是付费插件,你只有购买了或者开通专业版才能使用。微信小程序能够监控服务器,方便用户随时查看服务器状态。
推荐大家首次进入宝塔面板前不要进行环境的安装,因为在安装环境不能更改宝塔面板的设置。推荐大家先更改宝塔面板的默认设置,编译安装环境将近一个小时。在这段时间里我们先将宝塔面板设置好提高面板的安全性。
5、设置授权IP进行访问
如下图在授权IP中设置可以访问宝塔面板的IP地址,如果有多个授权IP;使用逗号分隔,一旦设置了授权IP,就只有设置的授权IP地址的主机可以访问宝塔面板,这也极大的增强了安全性。
