CentOS7安全配置

一、修改了ssh默认登录的22端口

1、修改sshd_config配置文件:

复制代码
vi /etc/ssh/sshd_config

找到【Port 22】 ,删除注释符号【#】,将22改为要设置的目的端口,如9999,然后保存文件并退出。

2、防火墙开放当前设置的端口

复制代码
firewall-cmd --zone=public --add-port=9999/tcp --permanent

重启防火墙:

复制代码
firewall-cmd --reload

3、开放ssh使用的端口

查看开放ssh使用的端口:

复制代码
yum  install policycoreutils-python

semanage port -l | grep ssh

开放当前设置的ssh端口:

复制代码
semanage port -a -t ssh_port_t -p tcp 9999

重启ssh:

复制代码
systemctl restart sshd

二、禁止关闭防火墙,开放端口需手动添加防火墙规则;

复制代码
查看已开放端口:firewall-cmd --list-ports
开放端口:firewall-cmd --add-port=8080/tcp --permanent
移除端口:firewall-cmd --remove-port=8080/tcp --permanent
重新加载防火墙规则:firewall-cmd --reload

三、已设置白名单和黑名单规则;

1、设置白名单

复制代码
vi /etc/hosts.allow

添加:

复制代码
sshd:192.168.1.185:allow     #允许192.168.1.185访问
sshd:192.168.1.*:allow      #允许192.168.1该IP段访问

2、设置黑名单

复制代码
vi /etc/hosts.deny

添加:

复制代码
sshd:ALL          #限制除/etc/hosts.allow外的其他一切IP访问本服务器

四、已设置IP锁定的脚本,超过10次失败登录会封掉IP,添加到黑名单。

1、编辑脚本

复制代码
vim /usr/local/bin/secure_ssh.sh

#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.txt
for i in `cat  /usr/local/bin/black.txt`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`
   if [ $NUM -gt 10 ];then
      grep $IP /etc/hosts.deny > /dev/null
    if [ $? -gt 0 ];then
      echo "sshd:$IP:deny" >> /etc/hosts.deny
    fi
  fi
done

2、创建记录登录失败次数的文件

复制代码
touch /usr/local/bin/black.txt

3、添加定时 10分钟执行一次

复制代码
crontab -e
添加以下命令:
*/10 * * * * root  sh /usr/local/bin/secure_ssh.sh
相关推荐
sanzk5 小时前
firefly开发板ubuntu安装ros2下的micro-ROS Agent
linux·运维·ubuntu
@insist1235 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
IT小白杨6 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
humors2216 小时前
【分享】火绒恶意网址自定义规则,根据互联网应急中心部分威胁预警恶意代码制作
网络·安全·规则·火绒安全·恶意网址·应急中心
工程管理笔记7 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
weixin_307779137 小时前
Linux下Nginx故障系统化检查Shell脚本
linux·运维·服务器·nginx·自动化
skyutuzz8 小时前
node安装部署
linux
一次旅行9 小时前
【AI工具】Rust-Based CLI:用 xargs 和并行加速你的 Linux 日常
linux·开发语言·rust
爱折腾的小黑牛10 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全
2501_9259633811 小时前
Hi3516CV610 + MPU6050 DMP 软件 EIS 防抖笔记
linux·运维·服务器