系統(tǒng)安全的基本原則，只啟動(dòng)需要的服務(wù)，只提供需要的端口訪問(wèn)，關(guān)注系統(tǒng)補(bǔ)丁更新

1.更新軟件包

centos: yum update -y

debian/ubuntu: apt update && apt upgrade -y

#升級(jí)系統(tǒng)小版本

centos: yum upgrade -y

2.設(shè)置相對(duì)復(fù)雜的密碼

建議密碼包含字母,數(shù)字,符號(hào),大小寫(xiě),以及長(zhǎng)度

3.修改默認(rèn)遠(yuǎn)程端口

/etc/ssh/sshd_config

Port 22000

systemctl restart sshd

4.防火墻設(shè)置

只放行常用的端口,如遠(yuǎn)程:22000(如果本地公網(wǎng)ip固定,最好設(shè)置只允許本地公網(wǎng)ip),web:80,ftp:21

禁用udp端口,只放行請(qǐng)求外部53端口

ubuntu/debian需安裝: apt-get install iptables

centos: /etc/sysconfig/iptables

ubuntu: /etc/iptables.rules

debian: /etc/iptables/rules.v4

參考規(guī)則:

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22000 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -p udp -j DROP

COMMIT

service iptables reload 或者 systemctl reload iptables

debian導(dǎo)入iptables規(guī)則： /sbin/iptables-restore < /etc/iptables/rules.v4

5.不提供外部連接的服務(wù)監(jiān)聽(tīng)回環(huán)ip

如redis,mysql,elasticsearch,memcache等

示例:

/etc/redis/redis.conf

bind 127.0.0.1

6.關(guān)閉系統(tǒng)不需要的服務(wù)

列出正在運(yùn)行的服務(wù): pstree  

停止自啟: 

centos6: chkconfig postfix off

centos7+/debian/ubuntu:  systemctl stop postfix ;systemctl disable postfix