详细阿里云CentOS服务器安全设置步骤教程

阿里云CentOS服务器安全设置步骤如下

1、开启云盾所有服务

2、通过防火墙策略限制对外扫描行为

请您根据您的服务器操作系统,下载对应的脚本运行,运行后您的防火墙策略会封禁对外发包的行为,确保您的主机不会再出现恶意发包的情况,为您进行后续数据备份操作提供足够的时间。

Window2003的批处理文件下载地址:http://oss.aliyuncs.com/aliyunecs/windows2003_drop_port.bat

Window2008的批处理文件下载地址:http://oss.aliyuncs.com/aliyunecs/windows2008_drop_port.bat

Linux系统脚本:http://oss.aliyuncs.com/aliyunecs/linux_drop_port.sh

 
上述文件下载到机器内部直接执行即可。

文件内容如下:

 

   #!/bin/bash  
    #########################################  
    #Function:    linux drop port  
    #Usage:       bash linux_drop_port.sh  
    #Author:      Customer Service Department  
    #Company:     Alibaba Cloud Computing  
    #Version:     2.0  
    #########################################  
       
    check_os_release()  
    {  
     while true  
      do  
       os_release=$(grep "Red Hat Enterprise Linux Server release"/etc/issue 2>/dev/null)  
       os_release_2=$(grep "Red Hat Enterprise Linux Server release"/etc/redhat-release 2>/dev/null)  
       if [ "$os_release" ] && [ "$os_release_2" ]  
       then  
         if echo "$os_release"|grep "release 5" >/dev/null2>&1  
         then  
           os_release=redhat5  
           echo "$os_release"  
         elif echo "$os_release"|grep "release 6">/dev/null 2>&1  
         then  
           os_release=redhat6  
           echo "$os_release"  
         else  
           os_release=""  
           echo "$os_release"  
         fi  
         break  
       fi  
       os_release=$(grep "Aliyun Linux release" /etc/issue2>/dev/null)  
       os_release_2=$(grep "Aliyun Linux release" /etc/aliyun-release2>/dev/null)  
       if [ "$os_release" ] && [ "$os_release_2" ]  
       then  
         if echo "$os_release"|grep "release 5" >/dev/null2>&1  
         then  
           os_release=aliyun5  
           echo "$os_release"  
         elif echo "$os_release"|grep "release 6">/dev/null 2>&1  
         then  
           os_release=aliyun6  
           echo "$os_release"  
         else  
           os_release=""  
           echo "$os_release"  
         fi  
         break  
       fi  
       os_release=$(grep "CentOS release" /etc/issue 2>/dev/null)  
       os_release_2=$(grep "CentOS release" /etc/*release2>/dev/null)  
       if [ "$os_release" ] && [ "$os_release_2" ]  
       then  
         if echo "$os_release"|grep "release 5" >/dev/null2>&1  
         then  
           os_release=centos5  
            echo "$os_release"  
         elif echo "$os_release"|grep "release 6">/dev/null 2>&1  
         then  
           os_release=centos6  
           echo "$os_release"  
         else  
           os_release=""  
           echo "$os_release"  
         fi  
         break  
       fi  
       os_release=$(grep -i "ubuntu" /etc/issue 2>/dev/null)  
       os_release_2=$(grep -i "ubuntu" /etc/lsb-release2>/dev/null)  
       if [ "$os_release" ] && [ "$os_release_2" ]  
       then  
         if echo "$os_release"|grep "Ubuntu 10" >/dev/null2>&1  
         then  
            os_release=ubuntu10  
           echo "$os_release"  
         elif echo "$os_release"|grep "Ubuntu 12.04">/dev/null 2>&1  
         then  
           os_release=ubuntu1204  
           echo "$os_release"  
         elif echo "$os_release"|grep "Ubuntu 12.10">/dev/null 2>&1  
          then  
           os_release=ubuntu1210  
           echo "$os_release"  
         else  
           os_release=""  
           echo "$os_release"  
         fi  
         break  
       fi  
       os_release=$(grep -i "debian" /etc/issue 2>/dev/null)  
       os_release_2=$(grep -i "debian" /proc/version 2>/dev/null)  
       if [ "$os_release" ] && [ "$os_release_2" ]  
       then  
         if echo "$os_release"|grep "Linux 6" >/dev/null2>&1  
         then  
           os_release=debian6  
           echo "$os_release"  
         else  
            os_release=""  
           echo "$os_release"  
         fi  
         break  
       fi  
       os_release=$(grep "openSUSE" /etc/issue 2>/dev/null)  
       os_release_2=$(grep "openSUSE" /etc/*release 2>/dev/null)  
       if [ "$os_release" ] && [ "$os_release_2" ]  
       then  
          if echo "$os_release"|grep"13.1" >/dev/null 2>&1  
         then  
           os_release=opensuse131  
           echo "$os_release"  
         else  
           os_release=""  
           echo "$os_release"  
         fi  
         break  
       fi  
       break  
       done  
    }  
       
    exit_script()  
    {  
     echo -e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"  
      rm-f $LOCKfile  
     exit 1  
    }  
       
    config_iptables()  
    {  
     iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROP  
     iptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROP  
     iptables -I OUTPUT 3 -p udp -j DROP  
     iptables -nvL  
    }  
       
    ubuntu_config_ufw()  
    {  
      ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445  
      ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186  
      ufwdeny out proto udp to any  
      ufwstatus  
    }  
       
    ####################Start###################  
    #check lock file ,one time only let thescript run one time  
    LOCKfile=/tmp/.$(basename $0)  
    if [ -f "$LOCKfile" ]  
    then  
     echo -e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"  
     exit  
    else  
     echo -e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"  
     touch $LOCKfile  
    fi  
       
    #check user  
    if [ $(id -u) != "0" ]  
    then  
     echo -e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"  
      rm-f $LOCKfile  
     exit 1  
    fi  
       
    echo -e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"  
    os_release=$(check_os_release)  
    if [ "X$os_release" =="X" ]  
    then  
     echo -e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"  
      rm-f $LOCKfile  
     exit 0  
    else  
     echo -e "\033[40;32mThis OS is $os_release.\n\033[40;37m"  
    fi  
       
    echo -e "\033[40;32mStep 3.Begen toconfig firewall.\n\033[40;37m"  
    case "$os_release" in  
    redhat5|centos5|redhat6|centos6|aliyun5|aliyun6)  
     service iptables start  
     config_iptables  
      ;;  
    debian6)  
     config_iptables  
      ;;  
    ubuntu10|ubuntu1204|ubuntu1210)  
      ufwenable <<EOF  
    y  
    EOF  
     ubuntu_config_ufw  
      ;;  
    opensuse131)  
     config_iptables  
      ;;  
    esac  
       
    echo -e "\033[40;32mConfig firewallsuccess,this script now exit!\n\033[40;37m"  
    rm -f $LOCKfile

3、设置iptables,限制访问

/sbin/iptables -P INPUT ACCEPT  
/sbin/iptables -F  
/sbin/iptables -X  
/sbin/iptables -Z  
  
/sbin/iptables -A INPUT -i lo -j ACCEPT   
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT  
/sbin/iptables -A INPUT -p tcp --dport 8080 -j ACCEPT  
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT  
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT  
/sbin/iptables -P INPUT DROP  
 service iptables save

以上脚本,在每次重装完系统后执行一次即可,其配置会保存至/etc/sysconfig/iptables

此步骤参考 阿里云Centos配置iptables防火墙 http://www.111cn.net/sys/linux/85675.htm

由于作为web服务器来使用,所以对外要开放 80 端口,另外肯定要通过ssh进行服务器管理,22 端口也要对外开放,当然最好是把ssh服务的默认端口改掉,在公网上会有很多人试图破解密码的,如果修改端口,记得要把该端口对外开发,否则连不上就悲剧了。下面提供配置规则的详细说明:

第一步:清空所有规则

当Chain INPUT (policy DROP)时执行/sbin/iptables -F后,你将和服务器断开连接
所有在清空所有规则前把policy DROP该为INPUT,防止悲剧发生,小心小心再小心
/sbin/iptables -P INPUT ACCEPT
清空所有规则
/sbin/iptables -F
/sbin/iptables -X
计数器置0
/sbin/iptables -Z

第二步:设置规则

允许来自于lo接口的数据包,如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping 127.0.0.1
/sbin/iptables -A INPUT -i lo -j ACCEPT

开放TCP协议22端口,以便能ssh,如果你是在有固定ip的场所,可以使用 -s 来限定客户端的ip
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

开放TCP协议80端口供web服务
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

10.241.121.15是另外一台服务器的内网ip,由于之间有通信,接受所有来自10.241.121.15的TCP请求
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT

接受ping

/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

这条规则参看:http://www.netingcn.com/iptables-localhost-not-access-internet.html
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

屏蔽上述规则以为的所有请求,不可缺少,否则防火墙没有任何过滤的功能
/sbin/iptables -P INPUT DROP

可以使用 iptables -L -n 查看规则是否生效

至此防火墙就算配置好,但是这是临时的,当重启iptables或重启机器,上述配置就会被清空,要想永久生效,还需要如下操作:

/etc/init.d/iptables save  
 

service iptables save

执行上述命令可以在文件 /etc/sysconfig/iptables 中看到配置

以下提供一个干净的配置脚本:

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -P INPUT DROP

最后执行 ,先确保ssh连接没有问题,防止规则错误,导致无法连上服务器,因为没有save,重启服务器规则都失效,否则就只有去机房才能修改规则了。也可以参考:ubuntu iptables 配置脚本来写一个脚本。

4、常用网络监控命令

(1) netstat -tunl:查看所有正在监听的端口

[root@AY1407041017110375bbZ ~]# netstat -tunl  
Active Internet connections (only servers)  
Proto Recv-Q Send-Q Local Address               Foreign Address             State        
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN        
udp        0      0 ip:123           0.0.0.0:*                                 
udp        0      0 ip:123           0.0.0.0:*                                 
udp        0      0 127.0.0.1:123               0.0.0.0:*                                 
udp        0      0 0.0.0.0:123                 0.0.0.0:*    

其中123端口用于NTP服务。

(2)netstat  -tunp:查看所有已连接的网络连接状态,并显示其PID及程序名称。

[root@AY1407041017110375bbZ ~]# netstat -tunp  
Active Internet connections (w/o servers)  
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name     
tcp        0     96 ip:22            221.176.33.126:52699        ESTABLISHED 926/sshd              
tcp        0      0 ip:34385         42.156.166.25:80            ESTABLISHED 1003/aegis_cli    

根据上述结果,可以根据需要kill掉相应进程。

 

如:

kill -9 1003

(3)netstat -tunlp

 

(4)netstat常用选项说明:

-t: tcp   

-u : udp
-l, --listening
       Show only listening sockets.  (These are omitted by default.)
-p, --program
       Show the PID and name of the program to which each socket belongs.
--numeric , -n
Show numerical addresses instead of trying to determine symbolic host, port or user names.

5、修改ssh的监听端口

(1)修改 /etc/ssh/sshd_config

原有的port 22

改为port 44

(2)重启服务

/etc/init.d/sshd restart

(3)查看情况

netstat -tunl  
Active Internet connections (only servers)  
Proto Recv-Q Send-Q Local Address               Foreign Address             State        
tcp        0      0 0.0.0.0:44               0.0.0.0:*                   LISTEN        
udp        0      0 ip:123           0.0.0.0:*                                 
udp        0      0 ip:123           0.0.0.0:*                                 
udp        0      0 127.0.0.1:123               0.0.0.0:*                                 
udp        0      0 0.0.0.0:123                 0.0.0.0:*    

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索centos
, 服务器
, this
, null
release
阿里云服务器centos、阿里云服务器重启步骤、阿里云服务器、阿里云服务器价格表、阿里云学生服务器,以便于您获取更多的相关知识。

时间: 2024-12-31 16:35:26

详细阿里云CentOS服务器安全设置步骤教程的相关文章

阿里云服务器CentOS服务器初始化设置步骤_Linux

CentOS服务器初始化设置其实不分阿里云或其它服务器了,操作配置过程与步骤也差不多,下面和小编一起来看看.一.挂载硬盘 1.磁盘分区 fdisk -l #查看设备,一般可以看到设备名为/dev/xvdb fdisk /dev/xvdb #对磁盘进行分区 输入n #创建新分区 输入p #创建主分区 输入1 #创建第一个主分区 输入w #保存并执行以上命令,创建分区 待上面的命令执行完成之后,使用fdisk -l查看,会看到类似 /dev/xvdb1的分区 说明分区成功. 2.磁盘格式化 mkfs

阿里云linux服务器安全设置(防火墙策略等)_Linux

首先需要进行linux的基础安全设置,可以先参考这篇文章 http://www.jb51.net/article/94842.htm 1.Linux系统脚本 #!/bin/bash ######################################### #Function: linux drop port #Usage: bash linux_drop_port.sh #Author: Customer Service Department #Company: Alibaba Clo

阿里云windows服务器安全设置(防火墙策略)_win服务器

通过防火墙策略限制对外扫描行为 请您根据您的服务器操作系统,下载对应的脚本运行,运行后您的防火墙策略会封禁对外发包的行为,确保您的主机不会再出现恶意发包的情况,为您进行后续数据备份操作提供足够的时间. Window2003的批处理文件 @rem 配置windows2003系统的IP安全策略 @rem version 3.0 time:2014-5-12 netsh ipsec static add policy name=drop netsh ipsec static add filterlis

阿里云Centos服务器添加Swap空间

我现在使用的是阿里云最低配置的服务器,1核.512MB内存,查看内存信息Swap空间为0MB,如下: [root@www ~]# free -m              total       used       free     shared    buffers     cached Mem:           494        124        370          0          7         42 -/+ buffers/cache:         74

阿里云linux服务器mysql修改密码教程

MYSQL的密码我们并不经常修改,但有时我们会忘记密码需要修改,还会将密码更改为自己更容易记住的!下面介绍两种更改mysql密码的方法 方法一: 此方法主要是记得旧密码然后更改为新的密码 1)先输入mysql -uroot -p 命令 2)输入密码登陆mysql 3)use mysql;  //使用mysql库 4)在输入update mysql.user set password=PASSWORD('123456789′) where User='root'; 更新mysql密码为:12345

阿里云CentOS 6.5 安装Docker详细步骤_docker

因为阿里云的CentOS 6.5版本默认内核kernel版本是2.6的,比较低.安装docker的后,运行不了. 步骤: 1.使用命令更新: yum update 2.安装Docker.这里忽略500字.... 3.使用命令查看IP: ifconfig 将看到有类似的结果: eth0 Link encap:Ethernet HWaddr 00:16:3E:00:6B:5D inet addr:10.169.127.193 Bcast:10.169.127.255 Mask:255.255.248

阿里云CentOS Linux服务器上如何用postfix搭建邮件服务器

注:本文的邮件服务器只用于发送邮件,也就是STMP服务器. 一.准备工作 1. 为邮件服务器添加DNS解析 虽然不加DNS解析也能把邮件发出去,但会被大多数邮件服务器当作垃圾邮件.根据我们的实际经验,需要添加三条DNS解析记录:A记录.MX记录.TXT记录.比如域名cnblogs.info,对应的DNS记录如下: 2. 准备存放邮件的硬盘空间 如果用的是阿里云入门级Linux服务器,有一块20G的数据盘未挂载,需要格式化并挂载(假设这里挂载的目录是/data),具体操作步骤见之前的博文阿里云云服

阿里云ecs服务器实例如何选择配置?(最详细教程)

阿里云ecs服务器实例如何选择配置? 购买前请先领取阿里云幸运券随机优惠还能百分百中奖小米电源一个!幸运的话中一等奖还能获得iPad mini. 1.阿里云ecs服务器实例地域配置: 计费方式建议选择"包年包月" 2.阿里云ecs服务器实例地域配置: 阿里云节点地区所对应的城市如下: 华北1:青岛 华北2:北京 华北3:张家口 华北5:呼和浩特 华东1:杭州 华东2:上海 华南1:深圳 华北地区:北京,天津,河北,山西,内蒙古. 华东地区:上海,江苏,浙江,山东,安徽. 华南地区:广东

阿里云ECS服务器搭建wordpress个人博客网站【详细图文教程】

阿里云ECS服务器搭建wordpress个人博客网站[小白专用的图文教程] 在阿里云上搭建使用个人博客主要分为以下几个步骤: 1.购买阿里云ECS主机 2.购买域名 3.申请备案 4.环境配置 5.安装wordpress 6.域名解析 声明一下,本人对服务器端的知识不是很熟悉,但一心想做个自己的个人网站装一下哔,特此记录一下完整的配置过程,也算是给其他小白们的一剂福利吧.   开发环境: 物理机版本:Win 7 旗舰版(64位) xshell版本:Xshell 5 Build 0806 xftp