欢迎来到天天文库
浏览记录
ID:33685222
大小:249.30 KB
页数:13页
时间:2019-02-28
《安装centos7后必做的七件事》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、安装CentOS7后必做的七件事CentOS 是最多人用来运行服务器的Linux版本,最新版本是CentOS7。当你兴趣勃勃地在一台主机或VPS上安装CentOS7后,首要的工作肯定是加强它的安全性,以下列出的七件事,是你进一步配置系统和安装其他软件前必须做的。1.更改root密码若果你是自行安装CentOS7的话,安装程序会让你自行设定root的密码。不过很多VPS服务商只会提供预先安装好的CentOS7映像档,这种情况下他们会透过主控界面告诉你root的密码,这个密码的安全性谁也不知道,它是如何产生的呢?随机性可靠吗?复杂性足够吗?服务商
2、的服务器是否记录了密码的副本?我们实在有必要第一时间重设这个密码。首先使用 ssh 登入服务器,在Windows可以使用 Putty、TeraTerm、或者在 Cygwin 环境下执行 OpenSSH。在Mac和Linux上只需在终端机(terminal)中执行以下指令便可以了,比Windows简单得多:由于你从来没有使用过ssh联系到这台服务器,你的电脑会把服务器的加密公钥下载,然后询问你是否信任它,这台新鲜安装好的CentOS7应该还未引起黑客的兴趣,也不大可能在这么短的时间内被攻陷,所以可以放心接受这个加密公钥。跟着输入root的密码登
3、入服务器:登入后立即更改root的密码,你需要输入新密码两次:好的密码应该同时包含数字、小写英文字母、大写英文字母、和标点符号,最少15个字符,这样的密码强度大概有90bit,勉强可以应付密码被“暴力破解”,当然我假设了你的密码是真正随机产生,有些人喜欢把个人资料例如名字、出生日期、车牌号码、地址、配偶和子女的名字等等崁入密码中,或者使用字典里的字词拼凑密码,这样密码的强度将会大幅下降,甚至不堪一击,这些问题我曾经在《如何管理密码?》讨论过。网上有很多随机密码产生器,例如 RANDOM.ORG,大都可用,但记紧必须使用HTTPS造访这些网站。
4、如果你有使用“密码夹万”一类的软件,不妨使用它们内建的密码产生器。完成后不要登出系统,使用另一个视窗用新密码尝试登入,即使失败也可以在原来的视窗重复以上步骤。2.新增一个普通帐号这一步连同下一步,相当于为一个城市筑起两道城墙,既可加强防卫,也建立了一道警报机制,当敌人(黑客)卒然来袭,第一道城墙被袭击和破坏,我们还有第二道城墙阻延一下,有时间部署防卫甚至反击。所以这是一个很多人忽略,但其实非常重要的步骤。首先我们新增一个帐号:这个新帐号ahhang没有默认密码,即是说登入ahhang时系统不用输入密码!所以我们立即要设定密码:有些人认为不应该
5、把建立帐号和设定密码两件事分开来做,一来可能会不慎遗忘,二来也给黑客一道时间缝隙登入这个新帐号,所以他们会在 adduser 指令中一并提供加密后的默认密码,方法是加入 -p 参数,不过这样做也有风险,因为黑客可以透过列出系统的进程,得知加密了的新密码,然后把密码破解。3.禁止root使用ssh登入CentOS7默认容许任何帐号透过 ssh 登入,包括root和一般帐号,为了不让root帐号被黑客暴力入侵,我们必须禁止root帐号的 ssh 功能,事实上root也没有必要 ssh 登入服务器,因为只要使用 su 或 sudo (当然需要输入r
6、oot的密码)普通帐号便可以拥有root的权限。使用 vim (或任何文本编辑器)开启 /etc/ssh/sshd_config,寻找:1#PermitRootLogin yes修改为:1PermitRootLogin no最后输入以下指令重新启动 sshd:1systemctl restart sshd.service这样黑客要取得root的权限,必须破解root和一个普通用户的密码,难度增加了。完成后不要登出系统,使用另一个视窗尝试登入root和普通帐号,测试无误便可进行下一步。4.使用非常规的ssh端口Ssh 默认使用端口22,这是在I
7、ANA注册的官方端口,但没有人说ssh不能使用其他端口,很多黑客专门向服务器的22端口发动攻击,即使你的服务器固若金汤、牢不可破,但是要系统日以继夜接受攻击,消耗的系统资源(网络、处理器、内存等等)也不会少,何况它是否真的牢不可破还说不定呢!所以有必要让 ssh 使用其他端口,只让有权使用 ssh 的用户知道。使用vim (或任何文本编辑器)开启 /etc/ssh/sshd_config,寻找:1#Port 22修改为:1Port 10837你可以把10837改为任何1024–65535之间的任何数字,若果怕与某些系统服务发生冲突,可以参考一
8、下这里。跟着重新启动 sshd:1systemctl restart sshd.service然后是设定防火墙,CentOS7的内核已经有防火墙 netfilter
此文档下载收益归作者所有