linux云主机安全加固
环境情况:
百度智能云,ubuntu1804,系统盘20G,数据盘50G,数据盘挂载点:/opt
安全加固操作
1.禁止ping
目的:为防止网络中的不法分子使用Ping操作来试探云主机的端口,故禁止云主机的Ping操作。
操作:
(1)linux主机配置文件修改:
vim /etc/sysctl.conf #添加或修改net.ipv4.icmp_echo_ignore_all = 1
(2)云端设置安全组
在网络和安全中选择安全组会出现安全组和ACL控制两个选项
在安全组中可以新建一个安全组
在其出站和入站中添加规则
一般默认IPV4与IPV6是全部允许,让自身的操作可以发出
入站一般根据自身使用的软件设置对应的端口(可以设置源IP访问)
入站即允许对应端口和信息进入计算机
例如:SSH的22端口,HTTP的80端口
禁止Ping就是ICMP请求,将ICMP请求拒绝
安全组不开放ICMP请求就是拒绝状态
一般就是使用什么端口就开什么端口,有能力就可以源IP指定,让主机更安全
2.不使用root账户登陆
root账户在linux计算机中具有所有权限,为了防止root用户权限的滥用,一般使用普通用户进行登陆,有需要时从普通用户su到root用户,保障root用户的安全。
(1)可以使用用户+密钥+密码的方式登陆
使用Xshell远程连接时,可以在新建连接的用户身份验证上选择Public key新建密钥对
将用户名输入,选择浏览密钥,在其中新建一个密钥,并且选择该密钥
用户密钥下的密码就是密钥加密的密码
(2)使用ssh-keygen方式加密登陆
SSH上创建密钥对时可以指定其创建的位置和密钥打开的密码
被操控主机
(1)操作:在对应的操作用户目录下新建.ssh文件夹并且新建ssh-keygen
指定位置和密码(指定位置时最后时密钥的名称:***_rsa)
(2)将私钥传输给控制主机
操作:scp 私钥的绝对位置 用户@IP:对应的目录
(对应的目录目前没分清,/root/.ssh/或者/home/用户/.ssh/)
远程时可以使用 ssh 用户@IP -i 指定的密钥
(3)被控制主机
被控制主机需要authorized_keys文件进行验证,并且需要该文件600权限,.ssh文件夹700权限
cat ***_rsa.pub > authorized_keyschmod 600 authorized_keyschmod 700 .ssh
3.普通用户分组,分为可以su root与不可以su root的
用户给不同人员使用,就需要对普通用户的权限进行管理
su #只是切换到root用户, 不改变当前目录; su - #切换到root和改变目录到/root
Linux中有wheel组,在wheel组中的用户可以su root,在此组之外的普通用户不可以su root
首先使用该组,先开启相关的配置
(1)修改 /etc/pam.d/su文件
vi /etc/pam.d/su 除去以下的# #auth required pam_wheel.so use_uid 或者添加 auth required pam_wheel.so use_uid group=wheel
部分的系统需要在pam_wheel.so use_uid处添加绝对路径
(2)在/etc/login.defs文件中加入如下配置项:
vim /etc/login.defs 添加: SU_WHEEL_ONLY yes
上述两个操作都可以将su root的权限有效的隔离
将用户添加到wheel组中
usermod -G wheel username 或者 gpasswd -a username wheel
将用户从wheel中删除
gpasswd -d userName wheel
以上就是一些云主机的加固操作
linux云主机安全加固相关推荐
- linux 云主机 卡顿 排查过程
最近在使用Linux云主机时发现远程登录操作卡顿,具体现象就是输入命令时,输的命令不能立即显示,要过一会儿才显示,按tab键补全也不好使.为了防止是网络原因导致的卡顿,特意从VNC界面登录试了下,发现 ...
- 自家主机建云服务器_如何创建一台Linux云主机?
之前的文章我们介绍了Linux操作系统的各种优势,今天就具体来介绍下如何在新睿云上创建一台Linux云主机,希望能对您有所帮助. 1.准备与选型 注册新睿云账号 新用户需在新睿云官网使用邮箱或手机号进 ...
- Linux云主机 监控方案浅析
1.为何需要监控 监控是运维工程师的眼睛,它可帮助运维工程师第一时间发现系统的问题. 对于服务器的整个生命周期,都要和监控打交道: 当有服务器上架,都需要加入比如CPU负载.内存.网络.磁盘等基础监控 ...
- 远程linux云主机,Linux实验室 远程连接Linux云主机方法
在前面的一篇文章中我们知道了云主机是什么,如何申请和创建云主机以及连接Windows云主机实例的方法.今天,笔者再给大家唠一唠连接Linux云主机实例的方法. Linux介绍 Linux因为它开源.运 ...
- linux里面的文件删不了怎么办,linux云主机文件删除不了怎么办
linux rm 是删除命令,它可以永久性地删除文件系统中指定的文件或目录.在使用 rm 命令删除文件或目录时,系统不会产生任何提示信息.此命令的基本格式为: [root@localhost ~]# ...
- Linux云主机安全入侵排查步骤
导语 经常有用户报障系统被植入恶意程序,如挖矿软件.ddos攻击病毒.syn映射攻击病毒等,可以按照以下流程为用户排查入侵病毒类型: 一.定位病毒进程 对于用户反馈云主机性能卡顿,CPU和内存占用较高 ...
- Linux系统云主机教程,新开的linux云主机磁盘挂载教程
下面蓝队网络给大家实际操作下,挂载linux主机的第二块盘. 查看主机硬盘情况(fdisk -l): 我们看到有sda和sdb两块盘,实际上sda就是我们的系统盘,sdb是我们的第二块盘,新开的云主机 ...
- 如何在Amazon AWS上设置一台免费Linux云主机
AWS(Amazon Web Services)是全球领先的云服务器提供商之一,专业的云计算.大数据服务和云解决方案提供商. 在 AWS 上创建 Linux 服务器,拥有 "Free Tie ...
- 如何向linux云主机上传文件,云主机上传文件具体步骤
云主机上传文件具体步骤.在具体应用的那时候,云主机文件上传方式有很多种多样,这儿各自详细介绍几类当地共享资源的方式. 一.Windows网络服务器文件上传方法 1.运作mstsc,联接远程桌面的那时候 ...
最新文章
- 深入学习QWidget-1
- android 手机号分段_android 手机号分段_android系统实现手机号添加分割符
- 转:如何调用另一个python文件中的代码
- C语言【将一个文本文件中的全部信息显示到屏幕上】
- MyBatis复习(七):MyBatis批量处理
- Educational Codeforces Round 52E(构造,快速幂)
- USB协议-UVC描述符篇(三)
- Android使用JSONObject解析接口json字符串(带日期)
- 51单片机电路原理图_51单片机AD转换电路设计实现
- html在按钮中加图片,在html里面怎么为一个按钮添加图片
- 从看守到贴身保镖服务的安全纵深防御
- 民法典实施后,夫妻共同债务如何认定?
- secureCRT无法输入
- 今日头条18校招第一批算法笔试
- matlab snapnow,任意倾斜椭圆方程的画法.pdf
- layui导出excel动态拆分单元格一个单元格显示多行数据合并单元格
- Unity内进行布尔差运算,砍树效果的实现
- 积跬步,聚小流------div模拟select,让select美美哒
- 1000个苹果要分到10个箱子中去 两种分析方式
- 数据时代,谁来舞动存储“三叉戟”?