VPS服务器安基础全配置
在租用外部服务器后,查看登录日志时你会发现,总有人在不断尝试登录你的服务器。原因是ssh默认通信端口为22,所以黑客们会通过扫描端口,以root用户身份不断尝试登录,利用算法模拟各种密码进行暴力登录。
为了保障服务器的安全性,最基础的做法就是修改默认的22端口号并禁止root用户直接通过ssh登录。
一、关闭root登录
配置环境:CentOS7 x64
配置方法如下:
注意:这里必须要新建一个用户,否则将会造成无法通过远程ssh登录服务器
1 .创建普通权限用户:
[root@localhost ~]# useradd test
[root@localhost ~]# passwd test
自定义用户密码后,对应用户创建完毕。
2 .使用vi编辑器打开ssh配置文件 /etc/ssh/sshd_config
[root@localhost ~]# vi /etc/ssh/sshd_config
3 .将PermitRootLogin改为no,该参数默认为yes,(大约在132行处,配置文件的末尾):
systemctl restart sshd.service
4 .重启sshd服务使配置生效
[root@localhost ~]# systemctl restart sshd.service
配置成功后下次登录服务器只可使用新增的普通用户进行登录,若操作需要使用root权限则可通过su root 切换至root用户后继续执行相应操作
二、修改ssh默认端口
注意:在修改端口的同时须注意防火墙是否已经开启对应端口,否则会造成修改配置后无法访问服务器的情况
主要步骤如下:
1 .使用vi编辑器打开ssh配置文件 /etc/ssh/sshd_config
[root@localhost ~]# vi /etc/ssh/sshd_config
2 .修改ssh默认端口
Port 22 这一行默认是注释的(大约在13行处),取消注释或者添加一行 Port 新端口号,如配置新端口号为9999:
Port 22
Port 9999
首次配置建议将Port 22前的注释也取消,待配置的指定端口生效后在注释掉对应22端口的配置以保证在整体配置过程中都可以正常连接服务器
3 .重载防火墙策略,并检查防火墙是否开放对应端口
[root@localhost ~]# firewall-cmd --reload
[root@localhost ~]# firewall-cmd --zone=public --list-ports
若配置的ssh端口不在其中,则需要手动添加该端口
[root@localhost ~]# firewall-cmd --permanent--add-port=9999/tcp
打印结果如下:
success
重载防火墙策略后,检查指定端口是否已开启:
[root@localhost ~]# firewall-cmd --permanent--query-port=9999/tcp
打印结果如下:
yes
4 .重启sshd服务及防火墙策略使配置生效,最好重启一下服务器
[root@localhost ~]# systemctl restart sshd.service
[root@localhost ~]# firewall-cmd --reload
[root@localhost ~]# shutdown -r now
5 .尝试使用ssh连接通过刚配置的端口连接服务器
若连接成功则表示配置成功,可修改sshd_config文件中默认端口配置项,将其注释。
至此,已完成基础VPS安全配置,可避免较常见的针对服务区进行端口扫描暴力登录的行为。
总是凌晨和打了鸡血似的写blog,加油吧,自己。