CentOS防火墙和系统安全防护和优化

防火墙

简介

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。其功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

功能

1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。

2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。

3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。

4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

简单应用

查看防火墙状态：

sudo systemctl status firewalld

打开防火墙的命令：

sudo systemctl start firewalld

关闭防火墙的命令：

sudo systemctl stop firewalld

开机自启动防火墙命令：

systemctl enable firewalld.service

开闭开机自启动防火墙命令：

systemctl disable firewalld.service

CentOS 系统安全防护和优化

系统安全

创建uesr用户，进行user用户赋予权限，养成user用户登陆习惯，能有效地避免错误操作引起的损失

adduser test
password test
mkdir /opt/doc
chown  test   /opt/doc

修改SSH的端口
1.查看，修改接口

[root@iZ359yn1gb24btZ ~]# netstat -anp|grep ssh  //查看默认端口
[root@iZ359yn1gb24btZ ~]# vi /etc/ssh/sshd_config   //修改配置文件
文件内找到#Port 22   //然后去掉#号  下一行加上Port 1234  保存，重启
(这里保留22端口，是为了放置假如配置失败的话，还可以使用22端口使用ssh登录，配置完成后，可以删除22端口)

2.安装semanage

//安装依赖
[root@iZ359yn1gb24btZ ~]# yum install policycoreutils-python
//安装semanage
[root@iZ359yn1gb24btZ ~]# yum provides semanage policycoreutils-python
//semanage是SELinux的管理工具，是用于向SELinux添加和修改ssh端口号

3.修改SELinux

[root@iZ359yn1gb24btZ ~]# semanage port -l | grep ssh

4.添加51866端口到 SELinux

[root@iZ359yn1gb24btZ ~]# semanage port -a -t ssh_port_t -p tcp 1234

5.防火墙开放51866端

[root@iZ359yn1gb24btZ ~]# firewall-cmd --permanent --zone=public --add-port=51866/tcp

6.删除22接口（与添加相似）
7.同时防火墙也关闭22端口

[root@iZ359yn1gb24btZ ~]# firewall-cmd --permanent --zone=public --remove-port=22/tcp

.同时还要注意还要定期的检查记录比如：
使用 last 命令查看下服务器近期登录的账户记录，确认是否有可疑IP登录过机器
.检查下 /etc/passwd 这个文件，看是否有非授权账户登录
.进入cron文件目录，查看是否存在非法定时任务脚本
.使用 ps -ef 和 top 命令查看是否有异常进程
.使用 chkconfig --list 和 cat /etc/rc.local 命令查看下开机启动项中是否有异常的启动服务

系统优化

.修改ip地址、网关、主机名、DNS等

.禁用不必要的服务:
ntsysv iptables 防火墙服务

加普通用户并进行sudo授权管理

.更新yum源及必要软件安装

.定时自动更新服务器时间

.精简开机自启动服务

.定时自动清理/var/spool/clientmqueue/目录垃圾文件，放置inode节点被占满

.变更默认的ssh服务端口，禁止root用户远程连接

.锁定关键文件系统

.调整文件描述符大小

.调整字符集，使其支持中文

.去除系统及内核版本登录前的屏幕显示

.历史记录

.内核参数优化

.升级具有典型漏洞的软件版本

.关闭多余的控制台及禁止ctrl+alt+del修改/etc/inittab文件注释掉多余的控制台，保留2个就可以防止资源浪费
#3:2345:respawn:/sbin/mingetty tty3

.禁止ctrl+alt+del快捷键,防止误操作强制关机
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

.网络优化,禁止ping,多台ping服务器会ping崩溃服务器（老服务器）,防止黑客攻击途径
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all