一、配置 root 用戶并加入新用戶:
-
使用 root 登錄登渣,更改 root 密碼:
# passwd完成后不要登出系統(tǒng)喷户,創(chuàng)建另一個(gè)連接并用新密碼嘗試登入隙轻,即使失敗也可以在原來的終端窗口重復(fù)以上步驟始绍。
-
新增一個(gè)普通帳號(hào),如 demo话侄,立即設(shè)置密碼亏推,并加入 wheel 組以便可以使用 sudo 命令。
# adduser demo # passwd demo # gpasswd -a demo wheel
二年堆、配置 SSH 登錄:
-
啟用 ssh 公鑰認(rèn)證吞杭。
-
本機(jī)運(yùn)行以下命令,在 ~/.ssh 下創(chuàng)建私鑰 id_rsa 和公鑰 id_rsa.pub 文件变丧,可以使用加密短語保護(hù)私鑰:
# ssh-keygen如果文件存在芽狗,則說明本機(jī)已經(jīng)創(chuàng)建了公鑰和私鑰,可能已經(jīng)用來登錄別的 SSH 服務(wù)器痒蓬,跳過這一步童擎。
將公鑰文件 id_rsa.pub 的內(nèi)容安裝至服務(wù)器:
-
方法一,執(zhí)行命令:
``` # ssh-copy-id demo@<SERVER_IP> ``` -
方法二攻晒,執(zhí)行以下命令顾复,創(chuàng)建并編輯 ~/.ssh/authorized_keys 文件:
``` # su - demo # mkdir ~/.ssh # chmod 700 ~/.ssh # nano ~/.ssh/authorized_keys ``` 在本機(jī)打開 ~/.ssh/id_rsa.pub 文件,復(fù)制其內(nèi)容鲁捏,粘貼在此處(一行)芯砸,然后保存,改變其權(quán)限設(shè)置: ``` # chown -R demo:demo ~/.ssh # chmod 700 ~/.ssh # chmod 600 ~/.ssh/authorized_keys ```
-
-
禁止 root 登錄给梅,使用非常規(guī) ssh 端口假丧,禁用密碼驗(yàn)證或啟用雙重驗(yàn)證。
編輯文件 /etc/ssh/sshd_config:
# nano /etc/ssh/sshd_config修改以下內(nèi)容:
- 將
#PermitRootLogin no改為PermitRootLogin yes动羽,以便禁止 root 用戶使用 ssh 登錄包帚。 - 將
#port 22改為port 17012或其它端口。 - 增加行
AuthenticationMethods publickey,password以啟用雙重驗(yàn)證曹质,或者修改PasswordAuthentication yes為PasswordAuthentication no以禁用密碼驗(yàn)證婴噩。
- 將
-
重啟 ssh 服務(wù)擎场。
# systemctl restart sshd.service -
不要登出系統(tǒng),創(chuàng)建另一個(gè)連接并用新端口几莽、用戶迅办、密碼(或私鑰)嘗試登入,即使失敗也可以在原來的終端窗口重復(fù)以上步驟章蚣。
# ssh -p 17012 demo@<SERVER_IP>
三站欺、更新全部軟件:
執(zhí)行命令:
```
# yum -y update
```
四、安裝防火墻:
-
執(zhí)行以下命令纤垂,安裝并啟動(dòng)防火墻(防火墻可能已安裝):
# yum install firewalld # systemctl start firewalld -
允許新的 ssh 端口:
-
方法一:
# cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ # nano /etc/firewalld/services/ssh.xml
將
<port protocol="tcp" port="22"/>改為<port protocol="tcp" port="17012"/>矾策。-
方法二:
# firewall-cmd --permanent --remove-service=ssh # firewall-cmd --zone=public --add-port=17012/tcp --permanent
-
-
使用新的防火墻設(shè)置:
# firewall-cmd --reload
五、每日自動(dòng)更新:
-
安裝軟件:
# yum -y install cronie # yum -y install yum-cron -
修改配置:
# nano /etc/yum/yum-cron.conf修改
apply_updates = no為apply_updates = yes峭沦,
確認(rèn)update_messages = yes贾虽,download_updates = yes。
六吼鱼、設(shè)置自動(dòng)同步時(shí)間:
-
設(shè)置時(shí)區(qū):
timedatectl set-timezone <REGION/TIMEZONE>可以使用如下命令列出可用事情:
timedatectl list-timezones如下命令顯示當(dāng)前時(shí)區(qū):
timedatectl -
安裝 NTP 服務(wù)并允許同步時(shí)間:
yum install ntp systemctl start ntpd systemctl enable ntpd
六蓬豁、創(chuàng)建交換文件:
-
創(chuàng)建交換文件(大小一般為內(nèi)存的兩倍):
fallocate -l 2G /swapfile或
dd if=/dev/zero of=/swapfile count=2048 bs=1M -
啟用交換文件。
chmod 600 /swapfile mkswap /swapfile swapon /swapfile -
重啟系統(tǒng)后任然啟用交換文件:
執(zhí)行
sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'或者編輯 /etc/fstab 文件:
nano /etc/fstab在末尾追加下述行并保存:
/swapfile none swap sw 0 0 -
使用以下命令檢查是否已啟用交換文件:
swapon -s
七菇肃、關(guān)機(jī)地粪,以便創(chuàng)建一個(gè)快照。
sudo poweroff
