Ubuntu配置案例
阿里云購(gòu)買服務(wù)器同辣,系統(tǒng)選ubuntu 14.0 64位常用版本
連接 ssh root@IP
? 增加賬戶 不用root做常用操作
adduser webmgr
gpasswd -a webmgr sudo
sudo visudo
里面增加webmgr ALL=(ALL:ALL) ALL
? ~/.zshrc 文件修改-快捷命令
alias sshourkp="ssh webmgr@120.39.200.1"
source .zshrc
? 無(wú)密碼ssh登錄
本地電腦 la -s 查找.ssh, 進(jìn)去該目錄
沒有就生成 ssh-keygen -t rsa -b 4096 -C "sosocom@qq.com"
eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_rsa
服務(wù)器
ls -a 查找.ssh ,進(jìn)去該目錄
沒有就生成 ssh-keygen -t rsa -b 4096 -C "sosocom@qq.com"
eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_rsa
一定要在.ssh目錄下執(zhí)行以下命令
vi authorized_keys
退出保存:wq
chmod 600 authorized_keys
sudo service ssh restart
? 注意了: 阿里云服務(wù)器本身就有一個(gè)安全組的,進(jìn)去克隆自己改掉
? 修改服務(wù)器ssh默認(rèn)登錄端口 49999
sudo vi /etc/ssh/sshd_config
提醒 最好多開一個(gè)連接窗口,萬(wàn)一改了端口,還有一個(gè)備用的在線連接
Port 49999
最后添加
UseDNS no
AllowUsers webmgr
? 防火墻設(shè)置? iptables 和? Fail2Ban
更新源
sudo apt-get update && sudo apt-get upgrade
清空規(guī)則
sudo iptables -F
新建規(guī)則
sudo vi /etc/iptables.up.rules
增加以下代碼
?
*filter
# allow all connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# allow out traffic
-A OUTPUT -j ACCEPT
# allow https http
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --dport 80? -j ACCEPT
# allow ssh port login
-A INPUT -p tcp -m state --state NEW --dport 49999? -j ACCEPT
# allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# log denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7
# drop incoming sensitive connections (bad incoming)
-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 150 -j DROP
# reject all other inbound
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
?
使規(guī)則生效
sudo iptables-restore < /etc/iptables.up.rules
?
查看防火墻狀態(tài)
sudo ufw status
如果沒有激活,顯示
Status: inactive
激活命令
sudo ufw enable
再次查看 sudo ufw status
Status: active
? 設(shè)置開機(jī)自動(dòng)啟動(dòng)防火墻
sudo vi /etc/network/if-up.d/iptables
寫入腳本
#!/bin/sh
iptables-restore? /etc/iptables.up.rules
給腳本權(quán)限
sudo chmod +x /etc/network/if-up.d/iptables
? Fail2Ban? 防御動(dòng)作庫(kù) 根據(jù)日志文件,執(zhí)行對(duì)應(yīng)的防御動(dòng)作
安裝
sudo apt-get install fail2ban
配置
sudo vi /etc/fail2ban/jail.conf
改
bantime = 3600
....
destmail = 自己的
...
去到 action = %(action_mw)s
[ssh]部分不改動(dòng)
啟動(dòng)
sudo service fail2ban start
sudo service fail2ban stop
