centos7 服务器基本的安全设置步骤

关闭ping扫描，虽然没什么卵用

先切换到root

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

1代表关闭

0代表开启

用iptables

iptables -I INPUT -p icmp -j DROP

简单介绍下基本的 dedecms _aq/' target='_blank'>安全设置

一、创建普通用户，禁止root登录，只允许普通用户使用su命令切换到root

这样做的好处是双重密码保护，黑客就算知道了普通用户的密码，如果没有root密码，对服务器上攻击也比较有限

以下是具体做法(需要在root下)

添加普通用户

useradd xxx

设置密码

passwd xxx

这样就创建好了一个普通用户

禁止root登录

vi /etc/ssh/sshd_config

PermitRootLogin no

Systemctl restart sshd

这样就完成了第一步，之后root就无法登录服务器只能通过普通用户su切换

二、修改ssh的默认端口22，因为ssh的端口是22，我们如果修改了该端口，他们就需要花费一点时间来扫描，稍微增加了点难度

以下将端口改为51866可以根据需要自己更改，最好选择10000-65535内的端口

step1 修改/etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#Port 22 //这行去掉#号

Port 51866 //下面添加这一行

为什么不先删除22，以防其他端口没配置成功，而又把22的删除了，无法再次进入服务器

step2 修改SELinux

安装semanage

$ yum provides semanage

$ yum -y install policycoreutils-python

使用以下命令查看当前SElinux 允许的ssh端口：

semanage port -l | grep ssh

添加51866端口到 SELinux

semanage port -a -t ssh_port_t -p tcp 51866

注： *** 作不成功，可以参考：>一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了
网站挂马是每个网站最头痛的问题，解决办法：1在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉
听朋友说 Sinesafe 不错 你可以去看看。
清马+修补漏洞=彻底解决
清马
1、找挂马的标签，比如有<script language="javascript" src="网马地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=网马地址></iframe>，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。
2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。
在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。
修补漏洞（修补网站漏洞也就是做一下网站安全。）
1、修改网站后台的用户名和密码及后台的默认路径。
2、更改数据库名,如果是ACCESS数据库，那文件的扩展名最好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。
3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。
4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。
5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。
6、写入一些防挂马代码，让框架代码等挂马无效。
7、禁用FSO权限也是一种比较绝的方法。
8、修改网站部分文件夹的读写权限。
9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

方法1阿里云控制台安全组设置。登陆你的阿里云账户-管理控制台-云服务器ECS-安全组设置-配置规则-公网入方向-在这里添加3306和22和21的端口访问规则，统一设置为拒绝即可，ip地址不用管。方法2使用iptables来禁止端口使用iptables是做运维的孩纸们最基本要掌握的，相信各位都会，因此这里不再列出方法。

用户创建安全组的初始设置是指的是默认设置，就是一般软件或者程序的默认使用的设置。初始设置是指系统首次使用时，根据企业的实际情况进行参数设置，并录入基础档案与初始数据的过程。系统初始化是会计软件运行的基础。它将通用的会计软件转变为满足特定企业需要的系统，使手工环境下的会计核算和数据处理工作得以在计算机环境下延续和正常运行。

同大部分使用OVS实现安全组功能的方案一样，OVN通过流表实现进出VM流量的有状态的ACL控制。状态还是通过linux conntrack维护，OVS 25版本起开始支持conntrack，在此之间需要通过Linux Bridge来使用ct，不可避免的对性能照成一定的影响。
OVS并为独立实现ct，实际上还是Linux内核的ct模块，我们通过conntrack命令可以看到他们是一个东西。我们知道在实现NAT、有状态防火墙这些功能的时候ct是一个重要的内核功能，能够一定程度上提高性能（降低 CPU 和延迟），这是因为只有第一个数据包需要完成整个网络栈的处理，参见 Comparing kube-proxy modes 一文，其中包含了这方面的例子。
但是如果需要同时处理非常大数量的活动连接，或者每秒处理极大数量的连接，ct就会成为瓶颈，ct表项的 *** 作需要加自旋锁，应对这些情况对资源和性能消耗都会很大。如下，每秒处理大数量的连接时，内核在ct上的性能消耗。

所有如果能够预期会出现这些情况的话，可以考虑一下无状态的防火墙，当然无状态的防火墙的使用限制还是挺大的。详细可以参考Calico Do-not-track 策略。

配置一个白名单 安全组，控制 vpc-400中 vm2 的入向规则。
踩坑:

附ct状态：

---