----------
2018-04-20

安裝後必要檢查:
ref:
https://www.hkpug.net/2014/09/18/安裝-centos-7-後必做的七件事/

1. 更改root密碼
若從來沒有使用過 ssh 聯繫到這台伺服器，你的電腦會把伺服器的加密公鑰下載，然後詢問你是否信任它:
?Q: 如何變更伺服器金鑰?
變更密碼:
# passwd

完成後不要登出系統，使用另一個視窗用新密碼嘗試登入，即使失敗也可以在原來的視窗重複以上步驟。

2. 新增一般權限較低的帳號
# adduser newuser1
新帳號沒有預設密碼, 必須立即設定密碼:
# passwd newuser1

3. 禁止 root 使用 ssh 登入
修改 /etc/ssh/sshd_config
將
PermitRootLogin yes
改為
PermitRootLogin no

然後重新啟動sshd:
systemctl restart sshd.service

3. 使用非常規的 ssh 端口
Ssh 預設使用端口 22，這是在 IANA 註冊的官方端口，但沒有人說 ssh 不能使用其他端口，很多黑客專門向伺服器的 22 端口發動攻擊，即使你的伺服器固若金湯、牢不可破，但是要系統日以繼夜接受攻擊，消耗的系統資源（網絡、處理器、記憶體等等）也不會少，何況它是否真的牢不可破還說不定呢！所以有必要讓 ssh 使用其他端口，只讓有權使用 ssh 的用戶知道。

修改
/etc/ssh/sshd_config
找到
#Port 22
修改為
Port [any 1024-65535]

CentOS要多執行這段:
semanage port -a -t ssh_port_t -p tcp [any 1024-65535]

再重新啟動sshd
systemctl restart sshd.service

開啟防火牆的port:
firewall-cmd --zone=public --add-port=10837/tcp --permanent

以ssh測試新開的port:
ssh -p 10837 ahhang@192.168.1.188

5. 啟用公鑰驗證登入
Client端麻煩, 不使用.

6. 自動更新
先手動更新所有預先安裝的軟件
# yum -y update

安裝自動更新:
yum -y install cronie
yum -y install yum-cron

安裝後
/etc/cron.daily/0yum.cron
Anacron 每天執行這個檔案一次，它根據配置檔案 /etc/yum/yum-cron.conf 來更新軟件

/etc/yum/yum-cron.conf
這是每天執行 yum-cron 的配置檔案，預設只會下載更新的軟件，並不安裝，用意是讓管理員檢視 yum-cron 的輸出，選取需要更新的軟件進行手動安裝。


開啓 /etc/yum/yum-cron.conf，尋找
apply_updates = no
改為
apply_updates = yes
確認一下 update_messages = yes, download_updates = yes, apply_updates = yes，

最後啟動 crond 和 yum-cron：
# systemctl start crond
# systemctl start yum-cron