阿里云主机

万维景盛

万维景盛官网
已解决:Linux操作系统安全加固设置方法是怎样的?

LINUX系统经常被入侵,导致网站安全出现问题,网站被挂马,篡改内容,劫持访问,跳转非法网站等,那么怎样解决这个问题呢?万唯景盛安全工程师为您提供Linux操作系统安全加固的设置方法。简单来说,系统安全的基本原则,只启动需要的服务,只提供需要的端口访问,关注系统补丁更新。

 Linux操作系统安全加固设置需要做到以下几个方面:

1.更新软件包

centos: yum update -y

debian/ubuntu: apt update && apt upgrade -y

#升级系统小版本

centos: yum upgrade -y


2.设置相对复杂的密码

建议密码包含字母,数字,符号,大小写,以及长度


3.修改默认远程端口

/etc/ssh/sshd_config

Port 22000

systemctl restart sshd


4.防火墙设置

只放行常用的端口,如远程:22000(如果本地公网ip固定,最好设置只允许本地公网ip),web:80,ftp:21

禁用udp端口,只放行请求外部53端口


ubuntu/debian需安装: apt-get install iptables

centos: /etc/sysconfig/iptables

ubuntu: /etc/iptables.rules

debian: /etc/iptables/rules.v4


参考规则:

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22000 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -p udp -j DROP

COMMIT


service iptables reload 或者 systemctl reload iptables

debian导入iptables规则: /sbin/iptables-restore < /etc/iptables/rules.v4


5.不提供外部连接的服务监听回环ip

如redis,mysql,elasticsearch,memcache等

示例:

/etc/redis/redis.conf

bind 127.0.0.1


6.关闭系统不需要的服务

列出正在运行的服务: pstree  

停止自启: 

centos6: chkconfig postfix off

centos7+/debian/ubuntu:  systemctl stop postfix ;systemctl disable postfix

如果贵公司没有雇佣服务器维护人员或安全,专家也可以将服务器委托给外围万维景盛工程师来代维护,我们只收取少量的维护费用。同时你也可以直接租用我司使用大品牌服务器打造的安心主机。支持防篡改,防木马,防病毒,防黑链,防劫持,防CC攻击等常见的防护功能,让您安心运维网站,无安全后顾之忧。欢迎垂询QQ微信442956988。

< 购物车 > 会员 客服 充值 工单
Top

客服热线

010-80253326

18610695105

客服QQ

请拨总机 010-80253326

咨询售后问题建议 提交工单