VPS服务器安基础全配置

在租用外部服务器后，查看登录日志时你会发现，总有人在不断尝试登录你的服务器。原因是ssh默认通信端口为22，所以黑客们会通过扫描端口，以root用户身份不断尝试登录，利用算法模拟各种密码进行暴力登录。
为了保障服务器的安全性，最基础的做法就是修改默认的22端口号并禁止root用户直接通过ssh登录。

一、关闭root登录

配置环境：CentOS7 x64

配置方法如下：

注意：这里必须要新建一个用户，否则将会造成无法通过远程ssh登录服务器

1 .创建普通权限用户：

[root@localhost ~]# useradd test
[root@localhost ~]# passwd test

自定义用户密码后，对应用户创建完毕。

2 .使用vi编辑器打开ssh配置文件 /etc/ssh/sshd_config

[root@localhost ~]# vi /etc/ssh/sshd_config  

3 .将PermitRootLogin改为no，该参数默认为yes,(大约在132行处，配置文件的末尾)：

systemctl restart sshd.service

4 .重启sshd服务使配置生效

[root@localhost ~]# systemctl restart sshd.service 

配置成功后下次登录服务器只可使用新增的普通用户进行登录，若操作需要使用root权限则可通过su root 切换至root用户后继续执行相应操作

二、修改ssh默认端口

注意：在修改端口的同时须注意防火墙是否已经开启对应端口，否则会造成修改配置后无法访问服务器的情况

主要步骤如下：

1 .使用vi编辑器打开ssh配置文件 /etc/ssh/sshd_config

[root@localhost ~]# vi /etc/ssh/sshd_config  

2 .修改ssh默认端口
Port 22 这一行默认是注释的(大约在13行处)，取消注释或者添加一行 Port 新端口号，如配置新端口号为9999：

Port 22  
Port 9999  

首次配置建议将Port 22前的注释也取消，待配置的指定端口生效后在注释掉对应22端口的配置以保证在整体配置过程中都可以正常连接服务器
3 .重载防火墙策略，并检查防火墙是否开放对应端口

[root@localhost ~]# firewall-cmd --reload 
[root@localhost ~]# firewall-cmd --zone=public --list-ports

若配置的ssh端口不在其中，则需要手动添加该端口

[root@localhost ~]# firewall-cmd --permanent--add-port=9999/tcp   

打印结果如下：
success
重载防火墙策略后，检查指定端口是否已开启：

[root@localhost ~]# firewall-cmd --permanent--query-port=9999/tcp   

打印结果如下：
yes
4 .重启sshd服务及防火墙策略使配置生效,最好重启一下服务器

[root@localhost ~]# systemctl restart sshd.service  
[root@localhost ~]# firewall-cmd --reload
[root@localhost ~]# shutdown -r now  

5 .尝试使用ssh连接通过刚配置的端口连接服务器
若连接成功则表示配置成功，可修改sshd_config文件中默认端口配置项，将其注释。
至此，已完成基础VPS安全配置，可避免较常见的针对服务区进行端口扫描暴力登录的行为。

总是凌晨和打了鸡血似的写blog，加油吧，自己。