环境情况:
百度智能云,ubuntu1804,系统盘20G,数据盘50G,数据盘挂载点:/opt
安全加固操作
1.禁止ping
目的:为防止网络中的不法分子使用Ping操作来试探云主机的端口,故禁止云主机的Ping操作。
操作:
(1)linux主机配置文件修改:
vim /etc/sysctl.conf
#添加或修改
net.ipv4.icmp_echo_ignore_all = 1(2)云端设置安全组
在网络和安全中选择安全组会出现安全组和ACL控制两个选项
在安全组中可以新建一个安全组
在其出站和入站中添加规则
一般默认IPV4与IPV6是全部允许,让自身的操作可以发出
入站一般根据自身使用的软件设置对应的端口(可以设置源IP访问)
入站即允许对应端口和信息进入计算机
例如:SSH的22端口,HTTP的80端口
禁止Ping就是ICMP请求,将ICMP请求拒绝
安全组不开放ICMP请求就是拒绝状态
一般就是使用什么端口就开什么端口,有能力就可以源IP指定,让主机更安全
2.不使用root账户登陆
root账户在linux计算机中具有所有权限,为了防止root用户权限的滥用,一般使用普通用户进行登陆,有需要时从普通用户su到root用户,保障root用户的安全。
(1)可以使用用户+密钥+密码的方式登陆
使用Xshell远程连接时,可以在新建连接的用户身份验证上选择Public key新建密钥对
将用户名输入,选择浏览密钥,在其中新建一个密钥,并且选择该密钥
用户密钥下的密码就是密钥加密的密码
(2)使用ssh-keygen方式加密登陆
SSH上创建密钥对时可以指定其创建的位置和密钥打开的密码
被操控主机
(1)操作:在对应的操作用户目录下新建.ssh文件夹并且新建ssh-keygen
指定位置和密码(指定位置时最后时密钥的名称:***_rsa)
(2)将私钥传输给控制主机
操作:scp 私钥的绝对位置 用户@IP:对应的目录
(对应的目录目前没分清,/root/.ssh/或者/home/用户/.ssh/)
远程时可以使用 ssh 用户@IP -i 指定的密钥
(3)被控制主机
被控制主机需要authorized_keys文件进行验证,并且需要该文件600权限,.ssh文件夹700权限
cat ***_rsa.pub > authorized_keys chmod 600 authorized_keys chmod 700 .ssh3.普通用户分组,分为可以su root与不可以su root的
用户给不同人员使用,就需要对普通用户的权限进行管理
su #只是切换到root用户, 不改变当前目录; su - #切换到root和改变目录到/rootLinux中有wheel组,在wheel组中的用户可以su root,在此组之外的普通用户不可以su root
首先使用该组,先开启相关的配置
(1)修改 /etc/pam.d/su文件
vi /etc/pam.d/su 除去以下的# #auth required pam_wheel.so use_uid 或者添加 auth required pam_wheel.so use_uid group=wheel部分的系统需要在pam_wheel.so use_uid处添加绝对路径
(2)在/etc/login.defs文件中加入如下配置项:
vim /etc/login.defs 添加: SU_WHEEL_ONLY yes上述两个操作都可以将su root的权限有效的隔离
将用户添加到wheel组中
usermod -G wheel username 或者 gpasswd -a username wheel将用户从wheel中删除
gpasswd -d userName wheel
以上就是一些云主机的加固操作