CentOS是很受用户欢迎的一个Linux发行版,来源于备受好评的企业级系统RHEL。目前,该软件的最新版本已经到了CentOS7.1,如果你使用CentOS7作为你的服务器的话,为了保证安全,下面7件事就是你要做的。
- 更改root密码。相应的密码可以用一些随机密码生成器来生成,平时管理的时候,使用专门的密码管理工具管理。
- 新增一个普通账号。root权限太高,太危险了,用useradd命令新增一个普通用户,用passwd命令指定此用户的密码。
- 禁用root ssh登录,编辑/etc/ssh/sshd_config文件,找到
#PermitRootLogin yes
修改为:
PermitRootLogin no
重启下sshd服务
systemctl restart sshd.service
重启后,改动就生效了,使用root和你建的普通账户登录下,看看能不能登录。
- 更改ssh端口号,详见之前的文章。
- 启用公钥验证登录。通过密码登录还不是很安全,如果你本机使用Linux系统,可以使用通过公钥验证登录,方法:
ssh-keygen ssh-copy-id root@***
这样,就可以不通过密码直接登录linux服务器了。这样做的话,如果一旦有人窃取了我们的公钥后,将不受限制的访问服务器了。这时候,可以启用双重验证。
编辑/etc/ssh/sshd_config
在结尾加入:AuthenticationMethods publickey,password
重启下sshd服务:
systemctl restart sshd.service
这样,你登录的时候,必须要公钥和密码都正确才能登录服务器了。
- 及时更新系统,坚持每天、每周及时更新。
首先先更新下预装的软件:yum -y update
接着设定系统自动更新,先安装一个软件:
yum -y install yum-cron
安装后,系统多了好几个文件,比较重要的是:
/etc/cron.daily/0yum.cron,Anacron每天执行这个文件一次,它根据配置文件/etc/yum/yum-cron.conf来更新软件。
/etc/yum/yum-cron.conf,这个是每天执行的yum-cron的配置文档,预设只会安装更新的软件,但不安装,用意是让管理员检查yum-cron的输出,选取需要更新的软件进行手动安装。
我们可以修改下/etc/yum/yum-cron.conf这个配置文件,让他自动更新软件。
寻找apply_updates = no
修改为:
apply_updates = yes
确认下update_messages = yes, download_updates = yes, apply_updates = yes
最后,启动crond 和 yum-cronsystemctl start crond systemctl start yum-cron
这样就能自动更新安装软件了。
- 防火墙。CentOS7中用firewalld代替了CentOS6中默认的iptables,通滚防火墙可以控制常见的端口、服务等开通、连接情况。常用的系列命令如下:
firewall-cmd --list-all
可以查看开了哪些端口和服务
其他的防火墙设置方面的问题,今后可以专门写一篇文章来介绍。
安装CentOS7后必做的7件事