From: 011netservice@gmail.com Date: 2022-05-22 Subject: 安裝後必要檢查.txt 歡迎來信交流 ---------- 2022-05-22, #### 安裝後必要檢查 ref: https://www.hkpug.net/2014/09/18/安裝-centos-7-後必做的七件事/ 1. 更改root密碼 若從來沒有使用過 ssh 聯繫到這台伺服器,你的電腦會把伺服器的加密公鑰下載,然後詢問你是否信任它: ?Q: 如何變更伺服器金鑰? 變更密碼: # passwd 完成後不要登出系統,使用另一個視窗用新密碼嘗試登入,即使失敗也可以在原來的視窗重複以上步驟。 2. 新增一般權限較低的帳號 # adduser newuser1 新帳號沒有預設密碼, 必須立即設定密碼: # passwd newuser1 3. 禁止 root 使用 ssh 登入 修改 /etc/ssh/sshd_config 將 PermitRootLogin yes 改為 PermitRootLogin no 然後重新啟動sshd: systemctl restart sshd.service 3. 使用非常規的 ssh 端口 Ssh 預設使用端口 22,這是在 IANA 註冊的官方端口,但沒有人說 ssh 不能使用其他端口,很多黑客專門向伺服器的 22 端口發動攻擊,即使你的伺服器固若金湯、牢不可破,但是要系統日以繼夜接受攻擊,消耗的系統資源(網絡、處理器、記憶體等等)也不會少,何況它是否真的牢不可破還說不定呢!所以有必要讓 ssh 使用其他端口,只讓有權使用 ssh 的用戶知道。 修改 /etc/ssh/sshd_config 找到 #Port 22 修改為 Port [any 1024-65535] CentOS要多執行這段: semanage port -a -t ssh_port_t -p tcp [any 1024-65535] 再重新啟動sshd systemctl restart sshd.service 開啟防火牆的port: firewall-cmd --zone=public --add-port=10837/tcp --permanent 以ssh測試新開的port: ssh -p 10837 user@192.168.1.188 5. 啟用公鑰驗證登入 Client端麻煩, 不使用. 6. 自動更新 先手動更新所有預先安裝的軟件 # yum -y update 安裝自動更新: yum -y install cronie yum -y install yum-cron 安裝後 /etc/cron.daily/0yum.cron Anacron 每天執行這個檔案一次,它根據配置檔案 /etc/yum/yum-cron.conf 來更新軟件 /etc/yum/yum-cron.conf 這是每天執行 yum-cron 的配置檔案,預設只會下載更新的軟件,並不安裝,用意是讓管理員檢視 yum-cron 的輸出,選取需要更新的軟件進行手動安裝。 開啓 /etc/yum/yum-cron.conf,尋找 apply_updates = no 改為 apply_updates = yes 確認一下 update_messages = yes, download_updates = yes, apply_updates = yes, 最後啟動 crond 和 yum-cron: # systemctl start crond # systemctl start yum-cron 7. 防火牆關閉無須對外服務的通道 參考: CodeHelper\Linux\firewall-cmd.txt