Paramètres de sécurité essentiels pour les serveurs Linux, recommandés à collecter ! ! !-exploitation et maintenance Linux-php.cn

Maison

Opération et maintenance

exploitation et maintenance Linux

Paramètres de sécurité essentiels pour les serveurs Linux, collection recommandée ! ! !

Linux中文社区

Aug 01, 2023 pm 04:50 PM

Serveur Linux

J'ai finalement acheté un serveur Ce serait vraiment dommage s'il était piraté par un hacker à cause de ma négligence !

Paramètres de sécurité essentiels pour les serveurs Linux, collection recommandée ! ! !

Voici quelques moyens simples d'améliorer le facteur de sécurité du serveur. Mon serveur cloud est configuré comme ça Bien que ce soit un peu gênant, je me sens plus à l'aise.

Modifier la configuration de connexion ssh

Ouvrez le fichier de configuration ssh

vim /etc/ssh/sshd_config#修改以下几项Port 10000#更改SSH端口，最好改为10000以上，别人扫描到端口的机率也会下降。防火墙要开放配置好的端口号，如果是阿里云服务器，你还需要去阿里云后台配置开发相应的端口才可以，否则登不上哦！如果你觉得麻烦，可以不用改 Protocol 2#禁用版本1协议, 因为其设计缺陷, 很容易使密码被黑掉。 PermitRootLogin no#尝试任何情况先都不允许 Root 登录. 生效后我们就不能直接以root的方式登录了，我们需要用一个普通的帐号来登录，然后用su来切换到root帐号，注意 su和su - 是有一点小小区别的。关键在于环境变量的不同，su -的环境变量更全面。 PermitEmptyPasswords no＃禁止空密码登陆。

Enfin, vous devez redémarrer le service sshd

service sshd restart

Interdire au système de répondre à toute demande ping de l'extérieur /interne

echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all

its La valeur par défaut est 0

用户管理

下面是基本的用户管理命令

查看用户列表：cat /etc/passwd查看组列表：cat /etc/group查看当前登陆用户：who查看用户登陆历史记录：last

一般需要删除系统默认的不必要的用户和组，避免被别人用来爆破：

userdel syncuserdel shutdown# 需要删除的多余用户共有：sync shutdown halt uucp operator games gophergroupdel admgroupdel games# 需要删除的多余用户组共有：adm lp games dip

Linux 中的帐号和口令是依据 /etc/passwd 、/etc/shadow、 /etc/group 、/etc/gshadow 这四个文档的，所以需要更改其权限提高安全性：

chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadow

如果还原，把 +i 改成 -i , 再执行一下上面四条命令。另外，搜索公众号Linux中文社区后台回复“私房菜”，获取一份惊喜礼包。

注：i 属性：不允许对这个文件进行修改，删除或重命名，设定连结也无法写入或新增数据！只有 root 才能设定这个属性。

创建新用户

创建新用户命令：adduser username

更改用户密码名：passwd username

个人用户的权限只可以在本 home 下有完整权限，其他目录要看别人授权。而经常需要 root 用户的权限，这时候 sudo 可以化身为 root 来操作。我记得我曾经 sudo 创建了文件，然后发现自己并没有读写权限，因为查看权限是 root 创建的。Linux 系统命令还是很重要的，120 个《必知必会的 Linux 系统常用命令》，推荐大家看看。

sudoers 只有只读的权限，如果想要修改的话，需要先添加 w 权限：chmod -v u+w /etc/sudoers 然后就可以添加内容了，在下面的一行下追加新增的用户：wq 保存退出，这时候要记得将写权限收回：chmod -v u-w /etc/sudoers

赋予 root 权限

方法一：修改 /etc/sudoers 文件，找到下面一行，把前面的注释（#）去掉

## Allows people in group wheel to run all commands# 去掉下面一句的前面的注释 # %wheel ALL=(ALL) ALL# 然后修改用户，使其属于root组（wheel），命令如下：# usermod -g root uusama

修改完毕，现在可以用 uusama 帐号登录，然后用命令 su – ，即可获得 root 权限进行操作。

方法二（推荐）：修改 /etc/sudoers 文件，找到下面一行，在 root 下面添加一行，如下所示：

## Allow root to run any commands anywhereroot ALL=(ALL) ALLuusama ALL=(ALL) ALL

修改完毕，现在可以用 uusama 帐号登录，然后用命令 sudo -s ，即可获得 root 权限进行操作。

方法三：修改 /etc/passwd 文件，找到如下行，把用户 ID 修改为 0 ，如下所示：

uusama:x:500:500:tommy:/home/uusama:/bin/bash# 修改后如下uusama:x:0:500:tommy:/home/uusama:/bin/bash

保存，用 uusama 账户登录后，直接获取的就是 root 帐号的权限。

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration

Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer

Article connexe

Comment dépanner une utilisation élevée du processeur sous LinuxOct 11, 2025 am 12:53 AM

Commencez par identifier les processus gourmands en CPU à l'aide de top, htop, orpsaux--sort=-%cpu ; analysez le comportement à l'échelle du système avec vmstat, sar et iostatt pour détecter les problèmes du noyau I/O ; inspectez les processus problématiques via top-H, strace ou perf ; puis résolvez en tuant, en limitant ou en renforçant les processus, et mo

Comment rediriger la sortie vers un fichier sous LinuxOct 11, 2025 am 12:09 AM

Utilisez> pour écraser un fichier avec stdout, >> pour ajouter, 2> pour rediriger stderr et &> ou 2> & 1 pour combiner les deux flux en un seul fichier pour une journalisation complète des sorties.

Comment rechercher du texte dans des fichiers sous Linux à l'aide de grepOct 10, 2025 am 02:11 AM

grep est un puissant outil de recherche de texte sous Linux. Il prend en charge la recherche de base, ignore la casse (-i), la recherche multi-fichiers et par caractères génériques, peut afficher les numéros de ligne (-n) et le contexte (-A/-B/-C), recherche récursivement les répertoires (-r) et prend en charge les expressions régulières (-E), qui conviennent pour localiser efficacement le contenu.

Que sont les modes SELinuxOct 10, 2025 am 12:38 AM

SELinux a trois modes de fonctionnement : Enforcing, Permissive et Disabled. L'application est le mode par défaut, qui applique les politiques de sécurité, bloque et enregistre les opérations illégales et convient aux environnements de production ; Le mode permissif enregistre uniquement les violations sans les bloquer et est utilisé pour le débogage et les tests ; Le mode désactivé désactive complètement SELinux et contrôle les autorisations par le DAC traditionnel, et n'est pas recommandé pour une utilisation dans les environnements de production. Vous pouvez afficher le mode actuel via getenforce, afficher l'état complet via sestatus, changer temporairement de mode via setenforce et modifier le fichier de configuration /etc/selinux/config pour changer définitivement de mode et nécessiter un redémarrage.

Comment installer un environnement de bureau sur un serveur LinuxOct 09, 2025 am 04:20 AM

Pour installer un environnement de bureau sur un serveur Linux, choisissez une interface graphique comme GNOME, KDE, XFCE ou LXDE en fonction des besoins en ressources ; pour Debian/Ubuntu, utilisez apt installer avec Ubuntu-desktop ou xfce4, puis activer gdm3 ou lightdm ; sur RHEL/CentOS/AlmaLinux/Fedora, utiliser le groupe nf pour installer "Serveur avec interface graphique"

Comment utiliser les instructions conditionnelles dans bash if caseOct 09, 2025 am 01:17 AM

Dans les scripts bash, s'il est adapté aux jugements logiques simples, et le cas convient à la correspondance multi-valeurs. 1. Si est souvent utilisé pour des conditions dynamiques telles que l'existence des fichiers et la comparaison numérique, et prend en charge l'expansion d'ELIF et Else Branch; 2.CAS est plus adapté à la correspondance des valeurs ou des modèles fixes, tels que le traitement de classification des commandes d'entrée utilisateur, prend en charge les caractères génériques et chaque branche doit se terminer avec ;; 3. Base de sélection: utiliser si pour des conditions dynamiques et un cas d'utilisation pour les valeurs fixes à correspondre.

Comment tuer un processus par PID sous LinuxOct 08, 2025 am 03:24 AM

Les méthodes pour terminer le processus par PID sous Linux incluent : 1. Utilisez ps ou pgrep pour trouver le PID du processus ; 2. Utilisez la commande kill pour envoyer SIGTERM (par défaut) pour essayer de terminer le processus normalement ; 3. S'il n'y a pas de réponse, utilisez kill-9 pour envoyer SIGKILL pour forcer la terminaison ; 4. Vous pouvez terminer plusieurs processus à la fois ou les combiner avec pkill pour un traitement par lots ; 5. Après la fin, il est recommandé d'utiliser ps pour confirmer si le processus est terminé. Notez que le kill ordinaire doit être essayé en premier pour garantir que le processus peut être terminé en toute sécurité.

Comment mesurer les performances d'E/S disque sous LinuxOct 08, 2025 am 02:09 AM

Utilisez DD pour des tests rapides, FIO pour une analyse en profondeur et IOSTAT pour une surveillance en temps réel. DD peut évaluer la vitesse de lecture et d'écriture séquentielle, telle que ddif = / dev / zeroof = testFilebs = 1GCount = 1Oflag = test direct write; FIO prend en charge plusieurs modes d'E / S, tels que fio - name = randwrite - rw = randwrite - bs = 4k-direct = 1-iodepth = 16 simule iOPS d'écriture aléatoire; IOSTAT-X1 vérifie% Util, Await, RKB / S et d'autres indicateurs en temps réel pour juger des goulots d'étranglement du disque. En combinant les trois, il peut évaluer de manière approfondie les performances du disque Linux.

See all articles