安裝 CentOS 7 後必做的七件事

CentOS 是最多人用來運行伺服器的 Linux 版本,最新版本是 CentOS 7。當你興趣勃勃地在一台主機或 VPS 上安裝 CentOS 7 後,首要的工作肯定是加強它的安全性,以下列出的七件事,是你進一步配置系統和安裝其他軟件前必須做的。

1. 更改 root 密碼

若果你是自行安裝 CentOS 7 的話,安裝程序會讓你自行設定 root 的密碼。不過很多 VPS 服務商只會提供預先安裝好的 CentOS 7 映像檔,這種情況下他們會透過主控界面告訴你 root 的密碼,這個密碼的安全性誰也不知道,它是如何產生的呢?隨機性可靠嗎?複雜性足夠嗎?服務商的伺服器是否記錄了密碼的副本?我們實在有必要第一時間重設這個密碼。

首先使用 ssh 登入伺服器,在 Windows 可以使用 Putty、Tera Term、或者在 Cygwin 環境下執行 OpenSSH。在 Mac 和 Linux 上只需在終端機 (terminal) 中執行以下指令便可以了,比 Windows 簡單得多:

首次 ssh 到伺服器

由於你從來沒有使用過 ssh 聯繫到這台伺服器,你的電腦會把伺服器的加密公鑰下載,然後詢問你是否信任它,這台新鮮安裝好的 CentOS 7 應該還未引起黑客的興趣,也不大可能在這麼短的時間內被攻陷,所以可以放心接受這個加密公鑰。跟著輸入 root 的密碼登入伺服器:

輸入 root 密碼兩次

登入後立即更改 root 的密碼,你需要輸入新密碼兩次:

更改 root 密碼

好的密碼應該同時包含數字、小寫英文字母、大寫英文字母、和標點符號,最少 15 個字符,這樣的密碼強度大概有 90 bit,勉強可以應付密碼被「暴力破解」,當然我假設了你的密碼是真正隨機產生,有些人喜歡把個人資料例如名字、出生日期、車牌號碼、地址、配偶和子女的名字等等崁入密碼中,或者使用字典裏的字詞拼湊密碼,這樣密碼的強度將會大幅下降,甚至不堪一擊,這些問題我曾經在《如何管理密碼?》討論過。

網上有很多隨機密碼產生器,例如 RANDOM.ORG,大都可用,但記緊必須使用 HTTPS 造訪這些網站。如果你有使用「密碼夾萬」一類的軟件,不妨使用它們內建的密碼產生器。

完成後不要登出系統,使用另一個視窗用新密碼嘗試登入,即使失敗也可以在原來的視窗重複以上步驟。

2. 新增一個普通帳號

這一步連同下一步,相當於為一個城市築起兩道城牆,既可加強防衛,也建立了一道警報機制,當敵人(黑客)卒然來襲,第一道城牆被襲擊和破壞,我們還有第二道城牆阻延一下,有時間部署防衛甚至反擊。所以這是一個很多人忽略,但其實非常重要的步驟。

首先我們新增一個帳號:

新增一個帳號

這個新帳號 ahhang 沒有預設密碼,即是說登入 ahhang 時系統不用輸入密碼!所以我們立即要設定密碼:

設定 ahhang 的密碼

有些人認為不應該把建立帳號和設定密碼兩件事分開來做,一來可能會不慎遺忘,二來也給黑客一道時間縫隙登入這個新帳號,所以他們會在 adduser 指令中一併提供加密後的預設密碼,方法是加入 -p 參數,不過這樣做也有風險,因為黑客可以透過列出系統的進程,得知加密了的新密碼,然後把密碼破解。

3. 禁止 root 使用 ssh 登入

CentOS 7 預設容許任何帳號透過 ssh 登入,包括 root 和一般帳號,為了不讓 root 帳號被黑客暴力入侵,我們必須禁止 root 帳號的 ssh 功能,事實上 root 也沒有必要 ssh 登入伺服器,因為只要使用 su 或 sudo (當然需要輸入 root 的密碼) 普通帳號便可以擁有 root 的權限。使用 vim (或任何文本編輯器) 開啓 /etc/ssh/sshd_config,尋找:

#PermitRootLogin yes

修改為:

PermitRootLogin no

最後輸入以下指令重新啟動 sshd:

systemctl restart sshd.service

這樣黑客要取得 root 的權限,必須破解 root 和一個普通用戶的密碼,難度增加了。

完成後不要登出系統,使用另一個視窗嘗試登入 root 和普通帳號,測試無誤便可進行下一步。

4. 使用非常規的 ssh 端口

Ssh 預設使用端口 22,這是在 IANA 註冊的官方端口,但沒有人說 ssh 不能使用其他端口,很多黑客專門向伺服器的 22 端口發動攻擊,即使你的伺服器固若金湯、牢不可破,但是要系統日以繼夜接受攻擊,消耗的系統資源(網絡、處理器、記憶體等等)也不會少,何況它是否真的牢不可破還說不定呢!所以有必要讓 ssh 使用其他端口,只讓有權使用 ssh 的用戶知道。

使用 vim  (或任何文本編輯器) 開啓 /etc/ssh/sshd_config,尋找:

1

#Port 22

修改為:

1

Port 10837

你可以把 10837 改為任何 1024 – 65535 之間的任何數字,若果怕與某些系統服務發生衝突,可以參考一下這裏。

跟著重新啟動 sshd:

1

systemctl restart sshd.service

然後是設定防火牆,CentOS 7 的內核已經有防火牆 netfilter,但你的系統未必安裝了用戶界面,較前版本的 CentOS 預設使用 iptables,但 CentOS 7 開始使用效能更高、穩定性更好的 firewalld,若果伺服器尚未安裝 firewalld,可以使用以下指令安裝,不確定是否已經安裝的話也可以輸入這個指令,它會告訴你已經安裝然後退出。

1

yum install firewalld

跟著啟動:

1

systemctl start firewalld

設定 firewalld 的方法有兩個,第一個是修改 firewalld 有關 sshd 的設定,把端口 22 改為 10837,這是正統的做法,但步驟比較多;第二個是要求 firewalld 開啓端口 10837,不指定它屬於哪一個服務,這個做法通常處理臨時的端口開啓/封鎖,步驟簡單,但是日後你要是忘記了這個端口為甚麼開啟了呢?什麼時候開啟的呢?為了哪一項服務開啟呢?可能有點麻煩。我兩種方法都會介紹一下,但作為專業的系統管理員(即使不是真正的專業,也應該具備這樣的心態),我推薦使用第一種方法。

設定防火牆方法一:

複製 firewalld 有關 sshd 的設定檔案:

1

cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

使用 vim  (或任何文本編輯器) 開啓 /etc/firewalld/services/ssh.xml,尋找:

1

<port protocol="tcp" port="22"/>

修改為:

1

<port protocol="tcp" port="10837"/>

儲存後重新載入 firewalld:

1

firewall-cmd --reload

設定防火牆方法二:

輸入以下指令:

1

firewall-cmd --zone=public --add-port=10837/tcp --permanent

就是這樣簡單!

不論使用哪種方法,完成後不要登出系統,使用另一個視窗嘗試登入,例如:

1

ssh -p 10837 [email protected]

5. 啟用公鑰驗證登入 ssh

現在只有普通帳號才能透過 ssh 登入伺服器,但是 ssh 提供一個更先進更安全的驗證方法:公鑰驗證法。

首先每一名用戶建立一對加密鑰匙(密鑰和公鑰),密鑰儲存在日常使用的電腦,公鑰則儲存在伺服器,使用 ssh 聯繫到伺服器的時候,電腦會把一些建立連線請求的資料,其中包括帳號名稱和公鑰,並且把部分資料用密鑰製作數碼簽署,一股腦兒送到伺服器,伺服器檢查自己的「公鑰庫」是否包含送來的公鑰,有的話再驗證數碼簽署,成功的話便直接登入伺服器,無需輸入帳號密碼。

第一步在日常使用的電腦上使用 ssh-keygen 指令建立一對加密鑰匙,它會詢問儲存加密鑰匙的檔案名稱,和把鑰匙加密的密碼,檔案名稱使用預設的路徑和名稱便可以,密碼則無需輸入:

建立帳號的 RSA 加密鑰匙

這個指令會創造兩個檔案,一個名為 id_rsa,是你的 RSA 密鑰,另一個是 id_rsa.pub,是你的 RSA 公鑰。公鑰必需上傳到伺服器並且附加於用戶帳號裏面的 .ssh/authorized_keys 檔案中,這個檔案儲存所有可透過 ssh 登入到這一個帳號的公鑰,一行一條公鑰:

上傳 RSA 公鑰到伺服器

順便一提,目錄 .ssh 和 authorized_keys 除了 owner 之外,其他人均不能有寫入的權限,否則 sshd 不會讀取,換句話說,兩者最寬鬆的權限是 755:

公鑰檔案的存取權限必須正確

使用公鑰驗證法登入 ssh 又省力又安全,因為我們不用輸入密碼,自然也沒有密碼被盜取的憂慮,簡簡單單地輸入連線指令便可以了。

但是存放在日常電腦中的密鑰卻帶來新的安全隱患,萬一密鑰被盜取了,其他人豈不是可以隨便登入伺服器?現在是「雙重驗證」(two-factor authentication) 隆重登場的時候,雙重驗證的理念是我們必須向伺服器證明兩種不同性質的東西,才能成功驗證身分,第一樣是我們知道什麼,第二樣是我們擁有什麼。首先伺服器會要求我們輸入密碼,我們知道密碼,過了第一關。跟著伺服器要求我們證明擁有公鑰驗證法中的密鑰,透過上面的設定程序我們也通過了驗證,過了第二關。現在伺服器才會讓我們進入系統。

設定 ssh 的雙重驗證法很簡單,使用 vim  (或任何文本編輯器) 開啓 /etc/ssh/sshd_config,在檔案的末端假如這一行:

1

AuthenticationMethods publickey,password

它告訴伺服器用戶必須擁有合法的公鑰,和輸入正確的密碼才能成功登入。修改完成後重新啟動 sshd:

1

systemctl restart sshd.service

完成後不要登出系統,使用另一個視窗嘗試登入,測試無誤便可進行下一步。

6. 更新、更新、每天更新、每天自動更新

每一天都有成千上萬的黑客在世界各地尋找 Linux 系統和常見軟件的安全漏洞,一有發現便會發動規模龐大而迅速的網絡攻擊,務求在我們來得及反應前把系統攻陷。不要以為黑客都只是十來歲的年輕小毛頭,大部分黑客背後都有勢力龐大、資源幾乎無限的國家機構支持,有些甚至屬於這些機構的雇員,美國的 NSA,英國的 GQHC,中國的無名黑客隊伍,都是比較明目張膽由國家支持的網絡黑幫,可見我們的系統時時刻刻都被凶狠之徒盯著,保持軟件在最新的狀態是其中一項我們必須做,也很容易做到的工作。

首先我們立即手動更新所有預先安裝的軟件:

1

yum -y update

跟著設定系統定時自動更新,第一步確定伺服器是否安裝了自動執行指令的工具,跟著使用 yum 一個名叫 yum-cron 插件。

CentOS 7 使用數個軟件來自動執行指令:cron、anacron、at 和 batch,其中 cron 和 anacron 用來定期重複執行指令,At 和 batch 則用來在特定時間執行一次性的指令。我們將會使用 cron 和 anacron,兩者的分別這裏不細表了,將來有機會再討論,現在使用以下指令安裝 cron 和 anacron:

1

yum -y install cronie

下一步就是安裝 yum-cron:

1

yum -y install yum-cron

其實你可以使用一個指令同時安裝 cronie 和 yum-cron,甚至單獨安裝 yum-cron 也可以,因為 yum 會自動檢測到 yum-cron 需要 cronie 然後自動替你安裝,上面分開兩個指令純粹令大家容易明白。

完成後系統多了數個檔案,比較重要的包括:

/etc/cron.daily/0yum.cron

Anacron 每天執行這個檔案一次,它根據配置檔案 /etc/yum/yum-cron.conf 來更新軟件

/etc/yum/yum-cron.conf

這是每天執行 yum-cron 的配置檔案,預設只會下載更新的軟件,並不安裝,用意是讓管理員檢視 yum-cron 的輸出,選取需要更新的軟件進行手動安裝。

跟著我們修改配置檔案,讓 yum-cron 自動更新軟件,使用 vim  (或任何文本編輯器) 開啓 /etc/yum/yum-cron.conf,尋找:

1

apply_updates = no

修改為:

1

apply_updates = yes

確認一下 update_messages = yes, download_updates = yes, apply_updates = yes,正如下圖:

yum-cron 配置檔案

最後,啟動 crond 和 yum-cron:

1

2

systemctl start crond

systemctl start yum-cron

7. 防火牆

防火牆的作用好比網絡警察,它監察所有進出系統的 IP 封包,哪些端口容許封包進入,哪些端口容許封包外出等等,都由防火牆控制,保護使用這些端口的應用程式,所以設定防火牆是極重要的工作。

過濾封包功能的 netfilter 已經內建在 CentOS 7 的內核,但是配置 netfilter 的界面程式 firewalld 卻未必有安裝,不論是否已經安裝,都可以執行下面的安裝指令:

1

yum install firewalld

跟著查看一下防火牆現在開啟了哪些服務和端口:

1

firewall-cmd --list-all

檢查防火牆

上圖可見防火牆只開啟了 DHCP 客戶端和 ssh 兩個服務的通訊端口,倘若日後安裝了其他網絡軟件,例如網站伺服器、域名伺服器等等,必須要檢查安裝程式有否開啓他們的通訊端口,沒有的話便要手動開啓。如果好像前面第四點那樣使用了非常規的通訊端口,也可能要手動配置防火牆,防火牆詳細的配置方法超出了本文的討論範圍,將來有機會再談。

时间: 2024-10-24 15:06:24

安裝 CentOS 7 後必做的七件事的相关文章

安装 CentOS 7 后必做的七件事

原文 安装 CentOS 7 后必做的七件事 CentOS 是最多人用来运行服务器的 Linux 版本,最新版本是 CentOS 7.当你兴趣勃勃地在一台主机或 VPS 上安装 CentOS 7 后,首要的工作肯定是加强它的安全性,以下列出的七件事,是你进一步配置系统和安装其他软件前必须做的. 1. 更改 root 密码 若果你是自行安装 CentOS 7 的话,安装程序会让你自行设定 root 的密码.不过很多 VPS 服务商只会提供预先安装好的 CentOS 7 映像档,这种情况下他们会透过

安装完CentOS 7 后必做的七件事

CentOS是最多人用来运行服务器的 Linux 版本,最新版本是 CentOS 7.当你兴趣勃勃地在一台主机或 VPS 上安装 CentOS 7 后,首要的工作肯定是加强它的安全性,以下列出的七件事,是你进一步配置系统和安装其他软件前必须做的. 1. 更改 root 密码 若果你是自行安装 CentOS 7 的话,安装程序会让你自行设定 root 的密码.不过很多 VPS 服务商只会提供预先安装好的 CentOS 7 映像档,这种情况下他们会透过主控界面告诉你 root 的密码,这个密码的安全

手机被偷前必做的两件事

很多"专家"都曾经发过<手机被偷后必做的N件事>这类教程,比如:致电运营商挂失手机号:致电银行冻结手机网银:手机解绑支付宝:微信冻结账号:修改微博.微信.QQ等密码:找手机运营商补手机卡:等等等等,实际上,这类教程所要求的事情都不是必要的,亡羊补牢不如未雨绸缪,真正要做到丢失后手机安全,只需要事前做两件事情:设置指纹密码和SIM卡密码.对于苹果用户来说,还需设置"查找我的iPhone"和iCloud两步验证. 以iPhone为例,一般都会设置"

想提升工作效率,就別再做这七件事

试想一位小公司老板每日孜孜不倦地工作,为何不能从为数众多的竞争者脱颖而出? 一位创业家可以不眠不休一天工作24 小时,整整一周不休假. 然而,时间有限,且竞争者却永远可以投入更多钱与心力,让竞争更剧烈.那么,为什么某些小型新创公司可以完成许多大型企业无法完成的事情呢? ●Instagram──只有13 名员工却被Facebook 用几十亿买下的公司. ●Snapchat──只有30 名员工却拒绝科技巨人Facebook.Google 的并购交易. 它们的成功部分来自于幸运──其余则是因为效率 .

新手学习SEO要做的七件事是什么?

学习SEO可能不那么先进的编程,学习SEO不可能掌握网页设计,学习SEO不需要学习SEO DIV + CSS;不是一个困难的任务,但是在学习过程中,如果你想掌握SEO,那么我们要做的几件事. 1.学习SEO需要持之以恒的精神.为什么 ?学习SEO要有持之以恒的精神?SEO是一个长期的工作,因为它是与搜索引擎这个工作密切相关,搜索引擎收录站点,将继续增加网站的权重,可以提高网站关键词的排名,这是一个不变的算法.所以即使我们有一个强大的SEO技巧,我们仍然需要更新网站内容,不断优化网站的布局,继续发

程序员必做的11件事!

逗比程序员勿进…… 又到周末啦,是不是感觉自己萌萌哒~ 此时此刻的你,是不是正蹲在厕所拿着手机看着这张图~ 或者还是在电脑上看着这张图偷偷笑~ 在互联网如此发达的今天,是谁带给了我们如此高科技的享受?答案是:一群辛苦上班的程序员!!! 程序员们用自己辛勤的劳动,为我们带来了如此美妙的体验. 程序,快来看看你的世界是不是如此~ 1.IT男的标准搭配吧,中枪的请卧倒! 2.程序媛!女程序员! 100个程序员中,就会有一个IT女,她们总会添加一抹亮丽的色彩. 3.如果立志当程序员,各种“码书”是必不可

安装完Ubuntu 14.04要做的九件事

www.linuxidc.com/Linux/2014-04/100411.htm 1.看看有哪些新特性 安装完之后的第一件事肯定是看看Ubuntu 14.04有哪些新的特性. Ubuntu 14.04 LTS本周发布,新特性提前看 http://www.linuxidc.com/Linux/2014-04/100152.htm Ubuntu 14.04惊艳:窗口没有边框了! http://www.linuxidc.com/Linux/2014-04/100151.htm 2.更改外观(壁纸,启

Apache Maven 3.0.3 (yum) 安裝 (CentOS 6.4 x64)

介紹http://maven.apache.org/ Maven是一個專案的開發,管理和綜合工具. 下載http://maven.apache.org/download.cgi 參考http://maven.apache.org/download.cgi#Installation 使用教學http://maven.apache.org/guides/getting-started/index.htmlhttp://maven.apache.org/guides/index.html 安裝(環境變

安装完最小化 RHEL/CentOS 7 后需要做的 30 件事情(一)转载自码农网

CentOS 是一个工业标准的 Linux 发行版,是红帽企业版 Linux 的衍生版本.你安装完后马上就可以使用,但是为了更好地使用你的系统,你需要进行一些升级.安装新的软件包.配置特定服务和应用程序等操作. 这篇文章介绍了 “安装完 RHEL/CentOS 7 后需要做的 30 件事情”.阅读帖子的时候请先完成 RHEL/CentOS 最小化安装,这是首选的企业和生产环境.如果还没有,你可以按照下面的指南,它会告诉你两者的最小化安装方法. 最小化安装 CentOS 7 最小化安装 RHEL