注:このチュートリアルの[クラウドサーバー](https://cloud.tencent.com/product/cvm?from=10680)はcentos7以上を例として取り上げており、クラウドサーバーはAlibabaCloudから購入しています。
他のサービスプロバイダーのクラウドサーバー構成も同様です
推奨事項:グラフィカルツールをLinuxサーバーにインストールすることはお勧めしません。これは、メモリ、帯域幅、およびリソースを消費し、欠点が利点をはるかに上回っているためです。
システムを手動で更新します。
yum -y update
ファイアウォール構成:
service firewalld start //ファイアウォールを開始します
systemctl enable Firewalld.service //起動後に開始します
selinux構成:
vim /etc/selinux/config
変更:
SELINUX = enforcing //必須モードを設定
再起動//再起動して有効にします
ssh構成:(ブルートフォースクラッキング防止)
useradd normal //システムユーザーを作成し、このユーザーを介してリモートでのみシステムにログインするように設定します
vim /etc/ssh/sshd_config
変更:
ポート2000 //ポートは1024より大きくなければなりません
プロトコル2 //必要がない場合は、追加します。
PermitEmptyPasswords no //空のパスワードでのログインを禁止する
X11Forwarding no //ポート転送は禁止されています
PermitRootLogin no // rootユーザーのログインを禁止する
MaxAuthTries 3 // 3回の試行を許可
LoginGraceTime 20 // 20秒以内にログインを完了できない場合は、切断します
AllowUsers normal //追加、このユーザーにのみリモートログインを許可
保存して終了し、sshを再起動します
service sshd restart
ファイアウォールオープンsshポート
firewall-cmd –zone=public –add-port=2000/tcp –permanent
firewall-cmd –reload
selinuxはsshポートを開きます
yum -y install policycoreutils-python // selinuxポート管理ツールをインストールします
semanage port -a -t ssh_port_t -p tcp 2000 //ポートを追加
semanage port -l | grep ssh // selinuxによって開かれたsshポートを表示します
service sshd restart
IPSPOOF攻撃を防ぐ
vim /etc/host.conf
最後に追加
nospoof on
pingされるのを禁止する
vim /etc/sysctl.conf
ある場合は変更し、ない場合は追加します
net.ipv4.icmp_echo_ignore_all=0
構成を保存する
sysctl -p
ファイアウォールはpingの実行を禁止します
firewall-cmd –permanent –add-rich-rule=’rule protocol value=icmp drop’
firewall-cmd –reload
注:AlibabaCloudコンソールのセキュリティグループルールでICMPプロトコルを許可するルールを削除することもできます
10日ごとにシステムを更新し、未使用のソフトウェアを削除し、yumキャッシュをクリアします
crontab -e
以下の内容は必要に応じて変更されます
0 0 * /10 * * yum update -y
0 0 * /11 * * yum autoremove -y
0 0 * /12 * * yum clean all
ファイアウォールはポートスキャンを禁止しています(centos7は無効ですが、ポートはまだスキャンされています。centos7より下で有効かどうかはわかりません)
iptables -F#Clearファイアウォールポリシー
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp –tcp-flags SYN,SYN –dport 80 -j Drop
サーバーは本質的にメモリが不足しているため、Alibaba Cloud Cloud Shield(Anknight)をアンインストールします。また、Cloud Shieldは効果よりも害が大きいため、アンインストールします。
wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
. /uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
. /quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*
注:アンインストールが完了したら、上記の2つのスクリプトファイルを削除できます。ファイルにアクセスできない場合は、Webマスターに連絡して依頼してください。
Shield Cloud Shield IP、Cloud Shieldはサーバーを定期的にスキャンして、ハッカーの攻撃をシミュレートします
vim shield_ip.sh
次のコンテンツを追加します。
#! /bin/bash
echo "クラウドサーバーのIPをスキャンするためにクラウドシールドのシールドを開始します"
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.201.0/28″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.201.16/29″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.201.32/28″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.225.192/29″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.225.200/30″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.225.184/29″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.225.183/32″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.225.206/32″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.225.205/32″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.225.195/32″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”140.205.225.204/32″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”106.11.224.0/26″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”106.11.224.64/26″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”106.11.224.128/26″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”106.11.224.192/26″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”106.11.222.64/26″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”106.11.222.128/26″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”106.11.222.192/26″ drop’
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source address=”106.11.223.0/26″ drop’
firewall-cmd –reload
保存して終了
chmod +x shield_ip.sh
. /shield_ip.sh
注:これらのIPアドレスセグメントは、Alibaba Cloudから正式に提供されたクラウドシールドサーバーIPからのものです。出典:(https://help.aliyun.com/knowledge_detail/37436.html)
エンコーディング設定:
vim /etc/locale.conf
オリジナルを削除し、次のコンテンツを追加します。
LANG = zh_CN.utf8 //中国のインターフェース
LC_MESSAGES = en_US.utf8 //英語のプロンプト
再起動//再起動して有効にします
アリババクラウドコンソール、クラウドサーバーECS->セキュリティグループ->構成ルール->セキュリティグループルールの追加を入力します
sshポートをセキュリティグループに追加します。そうしないと、セキュリティグループで開いていないftpポートやapacheポートなど、外部ネットワークにアクセスできなくなります。
xshellリモートログインソフトウェアをダウンロードします。通常のユーザーはリモートでLinuxシステムにログインします。ログインが成功した後、xshellの使用は繰り返されません。
su – root //右に上げる
注:Alibaba Cloudコンソールにリモート接続してシステムにログインした後、常にユーザーとしてログインできるとは限りません。システムを使用した後は、ユーザーからログアウトしてログインする必要があります。インターフェイスは、ユーザー名を入力する必要があるインターフェイスに残ります。
例:Alibaba Cloudコンソール(xshellログインではない)でログインし、ユーザーログインコマンドを終了します
logout // exitも機能します
注:rootユーザーは、前に2回終了する必要があります
最後に:AlibabaCloudコンソール->セキュリティ(クラウドシールド)->状況認識->状況認識サービスを開く->電子メールまたは[SMS](https://cloud.tencent.com/product/sms?from=10680)リマインダーを設定する
Recommended Posts