centos7安装之后的配置

配置网卡

cd  /etc/sysconfig/network-scripts/
vi ifcfg-em1
#修改以下内容
ONBOOT=yes  #开启自动启用网络连接
IPADDR0=192.168.21.128  #设置IP地址
PREFIXO0=24  #设置子网掩码
GATEWAY0=192.168.21.2  #设置网关
DNS1=8.8.8.8  #设置主DNS
DNS2=8.8.4.4  #设置备DNS

软件更新

sudo yum update

ssh安全设置

ssh的配置文件位于 /etc/ssh/sshd_config
推荐配置:
使 sshd服务运行在非标准端口上
设置方法:编辑/etc/ssh/sshd_config文件,添加一行内容为(假定设置监听端口是12345):port 12345
在客户端,用ssh <server addr> -p 12345登录服务器。
只允许 ssh v2的连接
protocol 2
禁止 root用户通过ssh登录
PermitRootLogin no
禁止用户使 用空密码登录
PermitEmptyPasswords no
限制登录失 败后的重试次数
MaxAuthTries 3
只允许在列 表中指定的用户登录
AllowUsers user1 user2
ssh白名单

配置iptables

添加两个信任的IP段,其他网段的数据包都DROP了,而不是REJECT(REJECT还要发送ICMP回应包给连接方)。

# iptables -A INPUT -p tcp --dport 22 -s 120.0.0.0/8 -j ACCEPT

# iptables -A INPUT -p tcp --dport 22 -s 183.0.0.0/8 -j ACCEPT

# iptables -A INPUT -p tcp --dport 22 -j DROP

第一和第二行表示接收指定IP段的端口访问请求。

第三行表示drop其余ip段的访问。

尝试在另外一个机子连接这个ssh服务,数据包被成功DROP了。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注