服务加固与防火墙策略

服务加固

为了防止密码在登陆或者传输信息中被窃取,仅使用证书登陆SSH

修改/etc/ssh/sshd_config文件,取消PubkeyAuthentication注释(如适用),将值改为yes,并将`PasswordAuthentication的值改为no

1

2

然后重启ssh服务systemctl restart sshd

修改ssh服务端口为2222;

修改/etc/ssh/sshd_config文件,查找Port,将注释取消,并修改值22为2222,并重启ssh服务

3

ssh禁止ROOT用户远程登陆;

修改/etc/ssh/sshd_config文件,查找PermitRootLogin,修改值为no,并重启ssh服务

4

vsFTPd禁止匿名用户上传;

修改/etc/vsftpd/vsftpd.conf文件,将anon_upload_enable注释取消,并修改值为NO,并重启vsftpd服务

5

激活vsFTPd上传下载日志;

修改/etc/vsftpd/vsftpd.conf文件,将xferlog_enable设置值为YES,并重启vsftpd服务

6

启用该选项,系统将会记录上传和下载的日志。默认情况下,日志文件为 /var/log/vsftpd.log

vsFTPd同一个IP只能连接两个;

修改/etc/vsftpd/vsftpd.conf文件,在文件底部新增一行max_per_ip=2,并重启vsftpd服务

7

vsFTPd将使客户端连接时的端口范围在50000和60000之间;

修改/etc/vsftpd/vsftpd.conf文件,在文件底部新增两行,并重启vsftpd服务

pasv_min_port=50000
pasv_max_port=60000

8

vsFTPd使本地用户登陆活动范围限制在home目录;

修改/etc/vsftpd/vsftpd.conf文件,取消掉chroot_local_userchroot_list_enable的注释

chroot_local_userchroot_list_enable的值分别改为YESNO

9

防火墙策略

开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略

Linux 系统禁用23端口;

#firewall
firewall-cmd --permanent --remove-port=23/tcp
firewall-cmd --reload
#iptables
iptables -A INPUT -p tcp --dport 23 -j DROP

10

11

Linux系统禁止别人ping通;

#firewall
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
firewall-cmd --reload
#iptables
iptables -A INPUT -p icmp -j DROP

12

13

Linux系统为确保安全禁止所有人连接ssh除了192.168.1.1这个IP。

#firewall
firewall-cmd --permanent --remove-service=ssh
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="22" accept'
irewall-cmd --reload
#iptables
iptables -F
iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT

14