昨儿刚注册了84的vps,最低配置,还是挺便宜的。拿到手机器没有安装诸如kloxo之类的面板,只有一个最小化安装的centos5.5。
很明显,快速搭建站点是不可能了,先给服务器加固一下。
ssh作为直观操纵服务器的利器,安全性至关重要。
以下是我的安全策略:
禁止ssh client通过root登录,
不允许用户更改passwd,shadow,group,gshadow文件。
修改ssh的port
#useradd newuser //添加新用户 #passwd newuser //修改密码 #usermod -G 10 newuser //将用户加入wheel(GID:10)组,允许使用 su – 命令提权成root #vi /etc/ssh/sshd_config 添加一行: PermitRootLogin no //禁止root远程登录 #vi /etc/pam.d/su #auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行,去掉行首的“#” #echo “SU_WHEEL_ONLY yes” >> /etc/login.defs //以上为禁止不在wheel组的用户使用su -命令 #service sshd restart //重启sshd服务
//更改下列文件权限,使任何人没有更改账户权限: #chattr +i /etc/passwd #chattr +i /etc/shadow #chattr +i /etc/group #chattr +i /etc/gshadow
//更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降 #vi /etc/ssh/ssh_config #vi /etc/ssh/sshd_config //然后修改为port为需要的端口号 #service sshd restart
至此sshd最基本的安全设置结束
