现在创业公司基本上会考虑购买云服务,而阿里云是首选。
本文记录购买阿里云ECS服务(操作系统centos)后,配置linux服器的一般步骤。主要用于自己总结备忘以及分享需要之人,如有遗漏,欢迎指正!
涉及:安全性配置 常用软件安装
设置安全规则
购买阿里云ECS服务后,可以登陆到阿里云后台,看到对应的ECS实例,首先第一步是对服务器的访问安全进行配置。
进入安全规则配置界面,如上图所示。
把默认入方向的配置全部先删除,然后配置上第一个规则:
拒绝 全部 -1/-1 地址段访问 0.0.0.0/0
把所有的端口号都禁用掉,优先级最低。配置上这条规则后,所有端口都无法远程访问我们的服务器。
接下来开放ssh给远程访问,需要配置第二条规则:
允许 自定义 TCP 22/22 地址段访问 XX.XX.XX.0/24
该规则允许某网段可以访问22端口,这样在这个网段的ip都可以通过ssh远程连接上我们的ecs服务器了。上面的ip地址可以通过百度中输入“ip”获取到自己所有的IP,如下图:
远程登陆
通过上一步骤,我们就可以通过ssh远程连接到服务器了,root的密码在购买ecs时指定,也可以在控制台中重置。
禁止ROOT登陆
linux最高权限用户root,默认可以直接登录sshd。为了提高服务器的安全度,需要对它进行禁止,使得攻击者无法通过暴力破解来获取root权限。
1.创建一个新用户
#useradd XXX
2.为新用户设置密码
#passwd XXX
3.修改sshd配置,禁止root直接远程登陆
#vim /etc/ssh/sshd_config
查找“#PermitRootLogin yes”,将前面的“#”去掉,短尾“Yes”改为“No”,并保存文件。
4.修改完毕,重启sshd服务,让配置生效
#service sshd restart
至此,root用户不无直接远程连接服务器,需要先通过我们新创建的用户XXX登陆,然后通过su命令来切换到root用户。
修改ssh端口号
虽然更改端口无法在根本上抵御端口扫描,但是,可以在一定程度上提高防御。
1.打开sshd配置文件
#vi /etc/ssh/sshd_config
2.找到#Port 22字段删掉#,将22改为其他不被使用的端口
服务器端口最大可以开到65536
3.重启sshd服务
#service sshd restart
4.别忘了修改安全规则配置,并且修改登陆工具那的端口设置。
