本文内容基于AlmaLinux 8系统。
以下为一键运行脚本,此脚本在AlmaLinux8,9系统上测试通过,其它版本系统无法保证全部功能正常运行。推荐仅在全新的服务器操作系统上运行此脚本,如二次执行可能会出现未知错误!
# bash <(curl -L https://github.com/AlexWalker97/Shell/raw/main/linux_init.sh)
一、修改主机名
通常在购买一台新的服务器时服务器Hostname会被云厂商定义为特定的名称,如果需要修改的话可以按照下面步骤进行:
1. 查看系统信息
你可以使用下面指令查看到主机的相关信息:
# hostnamectl例如下面截图是我的服务器信息:
2. 修改主机名
接下来修改服务器主机名:
# hostnamectl set-hostname 主机名修改成功并重连ssh后可以看到服务器名称变成了server007:
二、禁用ICMP协议
部分攻击者会使用ping工具来测试服务器是否"存在",我们可以禁用ICMP协议(让我们的服务器不响应其它服务器的ping请求)来保护服务器安全。
在 /etc/sysctl.conf 文件中增加一行 net.ipv4.icmp_echo_ignore_all = 1 (= 号后面的值0表示允许,1表示禁止),之后执行 sysctl -p 使新配置生效:
# echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf
# sysctl -p此时使用windows cmd工具ping服务器时会发现无法ping通:
三、关闭SELinux
y1s1,SELinux是个好东西,它能为linux服务器带来很强的安全防护功能。但是这个系统总是会和各种软件之间出现莫名其妙的冲突,有些问题排查极为浪费时间。在此直接将SELinux一关了之,再见!
输入getenforce检测selinux是否打开:
# getenforce如结果如下:
Enforcing或Permissive表示SELinux为已打开(后者表示临时关闭,但重启后还会打开),若结果为Disabled则代表selinux系统未启用,无需关闭。
输入以下指令已永久关闭SELinux:
# setenforce 0
# sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config四、修改ssh端口
22端口为服务器默认ssh端口,因此易受攻击。我们可以通过修改服务器默认ssh端口的方式来规避风险。
1. 准备端口
首先确认我们需要开放的ssh端口(此处以端口1234为例)未被占用:
安装lsof工具(便捷查看端口占用情况):
# yum -y install lsof查看端口占用:
# lsof -i:1234结果如下所示则代表端口未被使用:
2. 防火墙开放端口
执行以下命令开放1234端口:
# firewall-cmd --add-port=1234/tcp --permanent重启防火墙:
# firewall-cmd --reload查看防火墙已开放端口:
# firewall-cmd --zone=public --list-ports结果如下:
3.修改ssh端口
修改文件/etc/ssh/sshd_config:
# vi /etc/ssh/sshd_config将其中的#Port 22取消注释并修改为Port 1234:
重启sshd服务:
# systemctl restart sshd我们可以通过sudo lsof -i -P -n | grep LISTEN指令来查看所有系统监听的端口:
之后我们在ssh工具中只能使用1234端口登录服务器。
五、创建新用户
为了安全起见一般不建议直接使用root用户进行操作,为此我们需要创建新的用户,并在需要时给予他们root权限。新用户名最好不要使用user,admin等常见词,以下使用user1仅作为演示。
1. 创建用户
# adduser 用户名2. 修改密码
为刚刚创建的用户设置密码:
# passwd 用户名完成后结果如下:
3. 赋予新用户管理员权限
在AlmaLinux 8系统上,用户组 wheel 成员都可以使用sudo以管理员权限访问系统。如果你想要新创建的用户拥有管理员权限,添加用户到wheel用户组:
# usermod -aG wheel 用户名查看属于wheel组中的用户:
# cat /etc/group |grep wheel结果如下:
六、禁止root用户远程登陆
这点十分重要。一台暴露在互联网上的服务器每天可能会受到成千上百次的ip扫描或root密码暴力破解,其中远程ssh连接的用户名基本默认为root,因此我们有必要禁止root用户远程登陆,并使用我们上一步创建的新用户名登录。
1. 修改配置:
# vi /etc/ssh/sshd_config将其中如下图位置所示Permitrootlogin改为no:
2. 重启sshd服务:
# systemctl restart sshd现在如果我们断开此次ssh会话并再次尝试使用root登录会有如下报错:
这说明修改已经生效。
七、(可选)为服务器开启bbr
TCP BBR是谷歌出品的TCP拥塞控制算法,可以使 Linux 服务器显著地提高吞吐量和减少 TCP 连接的延迟。Linux4.9之后的内核自带bbr算法,如果linux内核版本低于4.9需要升级内核,这篇文章不会涉及到服务器升级内核的内容,仅针对服务器内核>4.9的系统。
1.查看内核
$ uname -r如下可以看到我们的内核为4.18,因此可以直接开启bbr。
2.开启bbr并设定队列算法为fq_codel(队列算法有很多种如:fq,fq_pie,cake等,这里选择fq_codel演示):
首先进入管理员账户:
$ sudo su之后执行:
# echo "net.ipv4.tcp_congestion_control = bbr" >> /etc/sysctl.conf
# echo "net.core.default_qdisc = fq_codel" >> /etc/sysctl.conf
# sysctl -p执行这一步时可能会有报错:"sysctl: setting key "net.core.default_qdisc": No such file or directory",我们直接忽略掉错误重启机器。
3.重启电脑后输入如下指令:
$ sysctl net.ipv4.tcp_congestion_control
$ sysctl net.core.default_qdisc
$ lsmod | grep bbr如果均出现bbr则说明启用成功,如下图所示:
文章来源:https://www.toymoban.com/news/detail-421537.html
总结
以上是一台新服务器到手后的一些简单安全防护及优化内容,更高级的保护措施(如:fail2ban,蜜罐技术等)之后有需要的话会再汇总成一篇文章,欢迎关注~文章来源地址https://www.toymoban.com/news/detail-421537.html
到了这里,关于Linux服务器初始化工作的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
