CentOSのは、Linux、CentOSの7の最新バージョンのサーバーバージョンを実行するために使用されるほとんどの人々です。あなたは、単一のホストまたはVPS 7に活発にCentOSの関心をインストールすると、最初の仕事は、そのセキュリティを強化するためにする必要があり、7物事は以下のとおり、あなたはさらに、システムを構成され、インストールが他のソフトウェアの前に行わなければなりません。
1. rootのパスワードを変更します
あなたの言葉は、自己インストールCentOSの7の場合は、インストール·プログラムは、独自のルートパスワードを設定するように求められます。しかし、多くのサービスプロバイダーは、VPSは、彼らが誰もそれを生成する方法を知らない、マスタインタフェース、セキュリティを介してあなたにこのパスワードをrootのパスワードを教えてくれます。その場合にはCentOSの7の画像ファイルを、プリインストール提供します?ランダム性信頼性はありますか?十分な複雑?サービスプロバイダサーバは、パスワードのコピーを記録しますか?初めて私たちは本当にパスワードをリセットする必要があります。
最初に、パテ、Tera Termのを使用するか、Cygwin環境でのOpenSSHを実行することができますWindowsで、SSHログインサーバを使用して。ただ、MacとLinuxはなりで端末(端末)で次のコマンドを実行し、Windowsのよりもはるかに簡単です:
初めてサーバーへのssh
このサーバーの公開鍵暗号化サーバに連絡するには、sshを使用することはありませんお使いのコンピュータにダウンロードされます、そしてあなたはそれを信頼するならば、求めるので、この新鮮なインストールCentOSの7はまだハッカーの関心を集めてはならない、また、ビッグ時間のような短い期間で損なわれる可能性があるので、あなたは、この公開鍵暗号を受け入れること安心することができます。 rootパスワードのログインサーバーに続きます:
二回rootのパスワードを入力してください
すぐにログイン後、rootのパスワードを変更し、新しいパスワードを2回入力する必要があります。
rootのパスワードを変更します
良いパスワードは90ビット程度、パスワード強度などの数字、小文字、大文字、句読点、少なくとも15文字を含める必要があり、パスワードに対処やっと「ブルートフォース」で、もちろん私はあなたを想定していますパスワードは、一部の人々が真にランダムな個人の名前などの情報、生年月日、ナンバープレートの番号、住所、配偶者や子供の名前、およびその埋め込みコードを配置、または単語の辞書がパスワードを一緒に入れて使用するようにしたい、そのようにされているパスワードの強度実質的に、私は “どのようにあなたのパスワードを管理するにあっても、脆弱な、これらの問題を低減させることでしょうか? 「議論しました。
そこに多くのオンラインランダムパスワード生成は、主に利用可能な、例えばRANDOM.ORG、のために、ですが、あなたはこれらのサイトを訪問するためにHTTPSを使用するように覚えておく必要があります。 「パスワードクリップワン、「ソフトウェアのクラスを使用する必要がある場合、それらは組み込みのパスワードジェネレータを使用することをお勧めします。
障害が元のウィンドウで、上記の手順を繰り返すことができたとしても、新しいパスワードでログインしようとしている別のウィンドウを使用して、システムの完成後にログアウトしないでください。
2.一般的なアカウントを追加
都市に相当する次のステップ、と一緒に、このステップは、また、我々は、アラート機構を設立し、敵は(ハッカー)Curanが襲ったとき、最初の壁が攻撃され、破壊された、防衛を強化することができる2つの壁を建てでも、第二の壁における遅延、およびで守備反撃を展開するための時間を持っています。だから、多くの人は無視しますが、実際には非常に重要なステップです。
まず、新しいアカウントを追加します。
アカウントを追加します
システムのログインにはパスワードをahhangないときなしデフォルトのパスワードahhangこの新しいアカウントには、それはです!だから我々は今、パスワードを設定します:
ahhangパスワードの設定
一部の人々は、我々はアカウントを設定し、次の2つは、1が誤って忘れかもしれませんが、分離し、そして第二に、この新しいアカウントへのアクセスを持っているハッカーにタイムスロットを与えるために行うためにパスワードを設定してはならないと思うので、adduserコマンドで指示を提供しますデフォルトのパスワードは暗号化され、-pパラメータを追加することですが、ハッカーがシステムに記載されているプロセスを通じて可能性があるため、リスクもそうする、暗号化された新しいパスワードとパスワードクラッキングこと。
3.これは、SSHのrootログインを使用することが禁止されています
CentOSの7デフォルト暴力の根をハッキングアカウントを防止するために、rootおよび一般会計を含め、SSHを介して任意のアカウントのログインを可能にするために限り、suコマンドの使用など、私たちはSSHのrootアカウントの機能を禁止する必要があり、実際には、不要ルートSSHログインサーバは、ありませんまたはsudoはroot権限を持つことができ、一般会計(もちろん、rootのパスワードを入力する必要があります)。の/ etc / SSH / sshd_configファイルを開くには、VIM(または任意のテキストエディタ)を使用し、検索:
1
はい#PermitRootLogin
次のように改正:
1
ないのPermitRootLogin
最後に、SSHDを再起動するには、次のコマンドを入力します。
1
systemctl再起動sshd.service
ハッカーがroot権限を取得するので、あなたがルートと共通のユーザーのパスワードをクラックする必要があり、難易度が増加します。
別のWindowsルートと一般アカウントでサインインしようとすると、次のテストを正しく行うことができ、システムが終了した後にログアウトしないでください。
4.型破りなSSHポート
公式IANAポートに登録されたが、誰が他のポートを使用することはできませんsshは、多くのハッカーがあなたのサーバーは、難攻不落不滅であっても、22ポートのサーバに献身的な攻撃が、クロックの周りのシステムが攻撃を受け入れるように述べられていないSSHのデフォルトポート22、システムリソース(ネットワーク、プロセッサ、メモリなど)も、多分それは本当に壊れないことはもちろんのこと、以下に消費されています!これは、SSH、SSHユーザーのみノウハウを使用する権利を許可することができ、他のポートを使用する必要があります。
の/ etc / SSH / sshd_configファイルを開くには、VIM(または任意のテキストエディタ)を使用し、検索:
1
#Port 22
次のように改正:
1
ポート10837
、競合が特定のシステムサービスで発生する恐れ若果、任意の数65535あなたはここでそれを参照することができます – あなたは、10837 1024のいずれかを変更することができます。
再起動のSSHDは、次のとおりです。
1
systemctl再起動sshd.service
その後、ファイアウォールを設定して、CentOSのコア7は、ファイアウォールnetfilterのがありますが、お使いのシステムは、ユーザインタフェース、CentOSのデフォルトのiptablesの以前のバージョンにインストールしたのですが、CentOSの7は、より高いパフォーマンス、firewalldのより良好な安定性、と開始されていませんすでにインストールされている場合、あなたはまた、このコマンドを入力できることを確認し、インストールするには、次のコマンドを使用することができませんRuoguoサーバがすでにインストールfirewalldないが、それはあなたがインストールした後、終了しました教えてくれます。
1
yumをfirewalldインストール
スタートは、次のとおりです。
1
firewalld開始systemctl
firewalld設定するには2つの方法がありますが、最初のものはfirewalld sshdの設定が正攻法であるポート22、より多くのステップに10837を変更修正する関連している、2番目はない、firewalld開いているポート10837を依頼することですそれがサービスに属することを指定する、このアプローチは、通常は一時的なポート開口部/閉鎖、簡単な手順を処理しますが、将来的には、ポートを開く方法を忘れてしまった場合はどうなりますか?とき、それは開いてましたの?どのサービスをオープンするのですか?それは少し面倒なことがあります。私は2つの方法を説明しますが、プロのシステム管理者として(そうでない場合は、実際のプロの、またこのような態度を持っている必要があります)、私は最初の方法を使用することをお勧めします。
ファイアウォール方法1を設定します:
コピーは、関連のsshdの設定ファイルをfirewalld:
1
CP /usr/lib/firewalld/services/ssh.xmlの/ etc / firewalld /サービス/
探している、/etc/firewalld/services/ssh.xmlを開くためにVIM(または任意のテキストエディタ)を使用します。
1
<ポートプロトコル= "TCP"ポート= "22" />
次のように改正:
1
<ポートプロトコル= "TCP"ポート= "10837" />
ストレージリロードfirewalld後:
1
ファイアウォール-CMD –reload
ファイアウォールの設定方法2:
次のコマンドを入力します。
1
ファイアウォール-CMD –zone =公共–add-ポート= 10837 / TCPの–permanent
それは簡単です!
にかかわらず、使用する方法の、例えば、別のウィンドウで署名しようとすると、システムが終了した後にログアウトしません。
1
SSH -p 10837 ahhang@192.168.1.188
5. SSH公開鍵認証ログインを有効にします
今ssh経由でサーバに署名するために、唯一の一般会計、SSHが、認証のより高度でより安全な方法を提供しています:公開鍵認証方式を。
まず、各ユーザーが(鍵と公開鍵)暗号化キーを設定している、キーは普段使いのコンピュータに保存されている、公開鍵をサーバにssh接続を使用して、サーバーに保存され、コンピュータがいくつかの接続要求を確立しますアカウント名と公開鍵、およびデジタル署名によって生成された情報の重要な部分を含む情報は、サーバーに断固として子供たちは、サーバーが送信され、独自の「公共図書館」は、公開鍵が含まれているチェックし、いずれかの再検証デジタル署名が成功すると、アカウントのパスワードを入力しなくてもサーバーに直接ログインします。
暗号化キーを確立するために、日常の使用にssh-keygenコマンドのためのコンピュータを使用しての最初のステップは、ファイル名の暗号化キーを保存するために要求されます、キー暗号化されたパスワードは、デフォルトのファイル名を使用して、パス名がパスワードであることができます入力する必要はありませんありません。
RSA暗号鍵のアカウントを確立
このコマンドは、id_rsaとという2つのファイルが作成されます、それはあなたのRSA鍵であり、他方はid_rsa.pubで、あなたのRSA公開鍵です。サーバーとの.ssh / authorized_keysファイル内のユーザーアカウントに接続されている公開鍵にアップロードし、必要な場合、このファイルは、公共、公衆回線のアカウントにこのすべてを保存するには、ssh経由でログインすることができます。
サーバにRSA公開鍵をアップロードします
なお、このAccessファイルは0700でなければならない、またはsshdが読んでいません:
公開鍵ファイルを格納するための許可は0700である必要があります
我々は、パスワードを入力する必要はありませんので、公開鍵認証方式と努力と安全を使用してSSHログインは、自然には、パスワードが盗まれていない心配は、単にその前に接続指示を入力してください。
しかし、キーが盗まれている場合、キーは、新たなセキュリティリスクをもたらしている毎日でコンピュータに保存され、他の人が簡単にサーバにログインすることができないだろうか?今「二要素認証」私たちは、第一、第二サンプルとして知っているもの(二要素認証)二要素認証の理念は、我々は正常に身元を確認するために、サーバーに物事の2種類を証明する必要がある壮大なデビューは、ありますそれは我々が持っているものです。まず、サーバは、最初のハードルを通過し、我々はパスワードを知って、パスワードを入力するように私たちを尋ねてきます。サーバが続くが、我々はまた、第二のハードルの後、検証を通過した上記の設定プログラムを介して、鍵公開鍵認証方式の所有を証明するために私達に尋ねました。今サーバーは、私たちは、システムを入力することができます。
二要素認証方式のsshのセットは、この行場合、ファイルの最後に/ etc / SSH / sshd_configファイルを開くには、VIM(または任意のテキストエディタ)を使用することは非常に簡単です:
1
AuthenticationMethodsの公開鍵、パスワード
これは、ユーザーが正常にログインするために有効な公開鍵を持っていて、正しいパスワードを入力する必要があり、サーバーに指示します。 SSHDを編集した後再起動します。
1
systemctl再起動sshd.service
あなたが次のステップにテストして、正しいことができ、別のウィンドウで署名しようとすると、システムが終了した後にログアウトしないでください。
6.更新し、更新、自動的に毎日更新、毎日更新
毎日、Linuxシステムと共通のソフトウェアの脆弱性を見つけるために、世界中のハッカーの何千人も、我々はそれが我々が、システムが侵害される前に応答するのに十分な時間を持っていることを確認するために、すぐに大規模なサイバー攻撃を起動しますことを発見しました。ハッカーはちょうど十代の若者、若い人たちであることを考えてはいけない、ほとんどのハッカーは、国家機関をサポートするために巨大な力ほぼ無制限のリソースの背後にある、いくつかのも、これらの機関の従業員に米国NSA、イギリスのGQHC、中国の匿名のハッカーに属しチームは当社のシステムが最新のソフトウェアを維持し、凝視激しい信者は常に、目に見えるより目に余る状態後援ネットワークギャングであることは、それが仕事をすることは非常に簡単ですが、私たちがしなければならないものです。
まず、手動ですべてのソフトウェアをすぐにプリインストールされた更新プログラム:
1
YUM -y更新
定期的な自動更新設定システム、サーバーは自動的にヤムヤム-cronのプラグインを使用して、という人に続いて命令を実行するためにインストールされているかどうかを判断する最初のステップが続きます。
自動的に命令を実行するためにいくつかのソフトウェアを使用してCentOSの7:cronとanacronのは、定期的に命令を繰り返すするクーロン、anacronの、で、バッチ、でバッチを特定の時間に一回の命令を実行するために使用されます。私たちは、cronとanacronのをインストールするには、次のコマンドを使用し、今、未来を議論する機会があり、両方がここにファインテーブルではなかった、cronとanacronのを使用します。
1
YUMクロニーをインストール-y
次のステップは、YUM-cronのをインストールすることです:
1
ヤムヤム-cronのインストール-y
yumは、自動的にyumを-cronのは、その後自動的にインストールさクロニーので、純粋に理解しやすい、すべての上の2つのコマンドを区切る必要が検出されますので、実際には、あなたは、することができますクロニーとのyum-cronのをインストールするには、コマンドを使用し、さらに単独のyum-cronのをインストールすることができます。
いくつかのファイルよりも多くのシステムが終了した後、もっと重要なのは、次のとおりです。
/etc/cron.daily/0yum.cron
anacronのは、一日一回、このファイルを実行するには、設定ファイルに従って、ソフトウェアを更新することである/etc/yum/yum-cron.conf
/etc/yum/yum-cron.conf
これは、毎日実行YUM-cronの設定ファイルで、デフォルトでは唯一の意思を手動で更新する必要があるソフトウェアを選択し、管理者はYUM-cronのの出力を表示できるようにすることです、更新されたソフトウェアがインストールされていないダウンロードされます。
私たちは、設定ファイルを変更するので、yumを-cronの自動更新ソフトウェア、/etc/yum/yum-cron.confを開くために、VIM(または任意のテキストエディタ)を使用して、探しているものは、次のとおりです。
1
apply_updates =なし
次のように改正:
1
apply_updates =はい
update_messagesを確認=はい、download_updates =はい、apply_updates =はい、下の図のように:
YUM-cronの設定ファイル
最後に、crondとYUM-cronのを起動します。
1
2
crondを開始systemctl
YUM-cronのを開始systemctl
7.ファイアウォール
パケットがファイアウォール制御によって、というように出て行くとすることを可能にするポートパケットがポートに入ることができ、すべての着信および発信IPパケットのシステムを監視するネットワークファイアウォールのような警察の役割、これらのポートを使用するアプリケーションの保護は、それはファイアウォールを設定することが非常に重要です仕事。
Netfilterのパケットフィルタリング機能は、すでにCentOSのカーネル7に組み込まれていますが、インタフェースプログラムの構成は、netfilterのをfirewalldが、必ずしも既にインストールかどうかにかかわらず、インストールされていない、あなたは、次のインストール手順を実行することができます。
1
yumをfirewalldインストール
今サービスとポート開いたファイアウォールを見続けてください。
1
ファイアウォール-CMD –list-すべて
ファイアウォールをチェック
図はありません、インストール·プログラムは、それらの通信ポートを開いているかどうかなど、ウェブサーバ、DNSサーバなどの追加のネットワークソフトウェアの将来のインストールは、チェックしなければならない場合は、通信ポートのDHCPクライアントとSSHの2つのサービスを開くには、唯一のファイアウォールを示していますその後、手動で開く必要があります。あなたが型破りな通信ポートの前に第四点として使用すること、また、手動でファイアウォールを設定したい場合は、詳細なファイアウォール設定は、この記事の範囲を超えて、我々は話をする機会を持つことになります。
Leave a Reply