本帖最后由 adds 于 2023-12-27 14:29 编辑
1、需求: 客户新建一台Linux虚拟机,为了系统安全,要配置不少安全选项,比如不允许ping、设置强密码、不允许使用root直接远程不寻常、修改ssh端口。
具体要求: 1.1开启防火墙,开放端口:443 13289 9501 50001-50003 14057 1.2禁ping 1.3远程禁用root登录 1.4账户root修改密码为CDiqA8Nsm% 1.5 ip地址为:172.18.1.1,子网掩码:255.255.255.0,网关:172.18.1.1 1.6 安装虚拟机优化软件
2、部署 2.1 配置IP地址 cd /etc/sysconfig/network-scripts cp ifcfg-eth0 ifcfg-eth0.bak //备份配置 vi ifcfg-eth0 service network restart //重启网络 2.2 修改密码 passwd 2.3 远程禁用root登录 vi /etc/ssh/sshd_config 将PermitRootLogin后面的值修改为no。 systemctl restart sshd //重启服务 2.4 防火墙开启端口 sudo firewall-cmd --zone=public --permanent --add-port=443/tcp sudo firewall-cmd --zone=public --permanent --add-port=443/tcp sudo firewall-cmd --zone=public --permanent --add-port=13289/tcp sudo firewall-cmd --zone=public --permanent --add-port=9501/tcp sudo firewall-cmd --zone=public --permanent --add-port=50001/tcp sudo firewall-cmd --zone=public --permanent --add-port=50002/tcp sudo firewall-cmd --zone=public --permanent --add-port=50003/tcp sudo firewall-cmd --zone=public --permanent --add-port=14057/tcp firewall-cmd --reload //重启防火墙 sudo firewall-cmd --zone=public --list-port //查看开放端口 2.5 系统禁ping vi /etc/sysctl.conf 修改net.ipv4.icmp_echo_ignore_all=1 刷新配置:sysctl -p 2.6 将ssh的端口修改为14057 vi /etc/ssh/sshd_config #Port 22 //注释掉默认的22端口 Port 14057 //新增一个1000以上的端口 systemctl restart sshd //重启服务 2.7 虚拟机优化软件安装 mount /dev/sr0 /nt cd /mnt/linux sh CAS_tools_install.sh
3、SSH端口修改不成功 3.1 报错 在尝试修改ssh的默认端口时,修改后报错。 报错:error:Bind to port 14057 on 0.0.0.0 failed ermission denied。 3.2 修改为其他端口也不可用。 3.3 chmod 755 -R /etc/ssh //给文件授权 3.4 关闭Selinux setenforce 0 //临时关闭selinux vi /etc/selinux/config 将selinux设置为disabled状态。 3.5 测试修改端口成功
|