阿里云服务器安装安全配置

《阿里云服务器安装安全配置》

申请阿里云服务器后,可能由于设置登录密码简单,服务器安装的服务端口暴露在公网上,很容易被黑客暴力破解登录,植入木马程序。

修改root,等登录用户密码

登录用户的密码复杂程度直接影响暴力破解的难易程度,在密码生成网站上生成一个复杂度高的密码;使用SSH远程登录软件登录阿里云服务器

访问下面的网站,获得随机密码:
https://suijimimashengcheng.51240.com/

[root@izbp18p2ymht9zenckfaiez ~]# passwd
Changing password for user root.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

Linux修改SSH默认22端口

SSH端口默认安装为22端口,需要修改为不常见的端口,避免服务器被攻击。

以阿里云服务器CentOS7为例:

###1.查看SSH服务端口

# netstat -tnlp |grep ssh
[root@izbp18p2ymht9zenckfaiez ~]#  netstat -tnlp |grep ssh          
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1374/sshd  
2.修改SSH配置文件
#vim  /etc/ssh/sshd_config

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 22
#ListenAddress 0.0.0.0
#ListenAddress ::

修改后:

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 22
Port 2105
#ListenAddress 0.0.0.0
#ListenAddress ::

重启SSH服务:

#systemctl restart sshd.service 

查看SSH服务端口是否正常:

# netstat -tnlp |grep ssh
tcp        0      0 0.0.0.0:2105            0.0.0.0:*               LISTEN      1374/sshd           
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1374/sshd     

3.在阿里云安全组规则中添加

登录阿里云,在管理控制台,云服务器 ECS,安全组,安全组规则中添加 TCP 入方向规则
使用SSH登录软件测试使用2105端口是否登录成功!

4.禁用22端口
# vim  /etc/ssh/sshd_config

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 22
Port 2105
#ListenAddress 0.0.0.0
#ListenAddress ::

修改后:

# vim  /etc/ssh/sshd_config

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 2105
#ListenAddress 0.0.0.0
#ListenAddress ::

重启SSH服务:

#systemctl restart sshd.service 

查看SSH服务端口是否正常:

# netstat -tnlp |grep ssh
tcp        0      0 0.0.0.0:2105            0.0.0.0:*               LISTEN      1374/sshd           

修改阿里云服务器其他内容

  1. 检查项: rsyslog日志文件权限配置

    加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 0640

  2. 检查项: SSHD强制使用V2安全协议

    加固建议: 在/etc/ssh/sshd_config中取消Protocol注释符号#

  3. 检查项: SSHD仅记录ssh用户登录活动

    加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#

  4. 检查项: SSHD仅记录ssh用户登录活动

    加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数

  5. 检查项: 清理主机远程登录历史主机记录

    加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#

  6. 检测项目: PermitRootLogin

    当前值: yes

  7. 检查项: 清理主机远程登录历史主机记录

    加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#

  8. 检查项: 禁止主机认证登录

    加固建议: 在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#

  9. 检查项: 禁止空密码用户登录

    加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注