如何在Centos7 系统开放端口

一、查看系统防火墙状态（绿色 running 代表防火墙启动正常）

firewall-cmd --state

返回：

[root@IP~]# firewall-cmd --state

not running

二、添加端口 返回 success 代表成功（--permanent永久生效，没有此参数重启后失效）

1.开始单个端口

firewall-cmd --zone=public --add-port=80/tcp --permanent

firewall-cmd --zone=public --add-port=443/tcp --permanent

开放多个端口

firewall-cmd --zone=public --add-port=80-85/tcp --permanent

2、重新载入 返回 success 代表成功

查看 返回 yes 代表开启成功

firewall-cmd --zone=public --query-port=80/tcp

三、关闭端口

1、删除端口 返回 success 代表成功

firewall-cmd --zone=public --remove-port=80/tcp --permanent

2、重新载入 返回 success 代表成功

firewall-cmd --reload

四、其他 *** 作

1、启动：systemctl start firewalld.service

2、关闭：systemctl stop firewalld.service

3、重启：systemctl restart firewalld.service

Centos7之后，就不用iptables控制linux端口了，因为Centos7使用firewalld代替了原来的iptables。

--zone #作用域

--add-port=9200/tcp #添加端口，格式为：端口/通讯协议

--permanent #永久生效，没有此参数重启后失效

刚修改完的端口需要重新加载防火墙才生效

至此，开放端口已经完成了。

检查防火墙状态

关闭防火墙

开启防火墙

设置开机启动防火墙

设置禁止开机启用防火墙

关闭ping扫描，虽然没什么卵用

先切换到root

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

1代表关闭

0代表开启

用iptables

iptables -I INPUT -p icmp -j DROP

简单介绍下基本的 dedecms _aq/' target='_blank'>安全设置

一、创建普通用户，禁止root登录，只允许普通用户使用su命令切换到root

这样做的好处是双重密码保护，黑客就算知道了普通用户的密码，如果没有root密码，对服务器上攻击也比较有限

以下是具体做法(需要在root下)

添加普通用户

useradd xxx

设置密码

passwd xxx

这样就创建好了一个普通用户

禁止root登录

vi /etc/ssh/sshd_config

PermitRootLogin no

Systemctl restart sshd

这样就完成了第一步，之后root就无法登录服务器只能通过普通用户su切换

二、修改ssh的默认端口22，因为ssh的端口是22，我们如果修改了该端口，他们就需要花费一点时间来扫描，稍微增加了点难度

以下将端口改为51866可以根据需要自己更改，最好选择10000-65535内的端口

step1 修改/etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#Port 22 //这行去掉#号

Port 51866 //下面添加这一行

为什么不先删除22，以防其他端口没配置成功，而又把22的删除了，无法再次进入服务器

step2 修改SELinux

安装semanage

$ yum provides semanage

$ yum -y install policycoreutils-python

使用以下命令查看当前SElinux 允许的ssh端口：

semanage port -l | grep ssh

添加51866端口到 SELinux

semanage port -a -t ssh_port_t -p tcp 51866

注： *** 作不成功，可以参考：https://sebastianblade.com/how-to-modify-ssh-port-in-centos7/

失败了话应该是selinux没有打开

然后确认一下是否添加进去

semanage port -l | grep ssh

如果成功会输出

ssh_port_t tcp 51866, 22

step3 重启ssh

systemctl restart sshd.service

查看下ssh是否监听51866端口

netstat -tuln

Step4 防火墙开放51866端口

firewall-cmd --permanent --zone=public --add-port=51866/tcp

firewall-cmd --reload

然后测试试试，能不能通过51866登录，若能登录进来，说明成功，接着删除22端口

vi /etc/ssh/sshd_config

删除22端口 wq

systemctl restart sshd.service

同时防火墙也关闭22端口

firewall-cmd --permanent --zone=public --remove-port=22/tcp

注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网，需要做端口映射)

三、使用一些类似DenyHosts预防SSH暴力破解的软件(不详细介绍)

其实就是一个python脚本，查看非法的登录，次数超过设置的次数自动将ip加入黑名单。

四、使用云锁(不详细介绍)

参考自http://tim-fly.iteye.com/blog/2308234

总的来说做好了前两步能够减少至少百分之五十的入侵，在做好第三步之后，基本可以杜绝百分之八十以上的入侵。当然最重要的还是自己要有安全意识，要多学习一些安全知识和linux的知识。

第三第四其中都有稍微提到一点，感兴趣可以看看

---