CentOS防火墙和系统安全防护和优化
防火墙
简介
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。其功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
功能
1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。
3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。
简单应用
查看防火墙状态:
sudo systemctl status firewalld
打开防火墙的命令:
sudo systemctl start firewalld
关闭防火墙的命令:
sudo systemctl stop firewalld
开机自启动防火墙命令:
systemctl enable firewalld.service
开闭开机自启动防火墙命令:
systemctl disable firewalld.service
CentOS 系统安全防护和优化
系统安全
创建uesr用户,进行user用户赋予权限,养成user用户登陆习惯,能有效地避免错误操作引起的损失
adduser test
password test
mkdir /opt/doc
chown test /opt/doc
修改SSH的端口
1.查看,修改接口
[root@iZ359yn1gb24btZ ~]# netstat -anp|grep ssh //查看默认端口
[root@iZ359yn1gb24btZ ~]# vi /etc/ssh/sshd_config //修改配置文件
文件内找到#Port 22 //然后去掉#号 下一行加上Port 1234 保存,重启
(这里保留22端口,是为了放置假如配置失败的话,还可以使用22端口使用ssh登录,配置完成后,可以删除22端口)
2.安装semanage
//安装依赖
[root@iZ359yn1gb24btZ ~]# yum install policycoreutils-python
//安装semanage
[root@iZ359yn1gb24btZ ~]# yum provides semanage policycoreutils-python
//semanage是SELinux的管理工具,是用于向SELinux添加和修改ssh端口号
3.修改SELinux
[root@iZ359yn1gb24btZ ~]# semanage port -l | grep ssh
4.添加51866端口到 SELinux
[root@iZ359yn1gb24btZ ~]# semanage port -a -t ssh_port_t -p tcp 1234
5.防火墙开放51866端
[root@iZ359yn1gb24btZ ~]# firewall-cmd --permanent --zone=public --add-port=51866/tcp
6.删除22接口(与添加相似)
7.同时防火墙也关闭22端口
[root@iZ359yn1gb24btZ ~]# firewall-cmd --permanent --zone=public --remove-port=22/tcp
.同时还要注意还要定期的检查记录比如:
使用 last 命令查看下服务器近期登录的账户记录,确认是否有可疑IP登录过机器
.检查下 /etc/passwd 这个文件,看是否有非授权账户登录
.进入cron文件目录,查看是否存在非法定时任务脚本
.使用 ps -ef 和 top 命令查看是否有异常进程
.使用 chkconfig --list 和 cat /etc/rc.local 命令查看下开机启动项中是否有异常的启动服务
系统优化
.修改ip地址、网关、主机名、DNS等
.禁用不必要的服务:
ntsysv iptables 防火墙服务
加普通用户并进行sudo授权管理
.更新yum源及必要软件安装
.定时自动更新服务器时间
.精简开机自启动服务
.定时自动清理/var/spool/clientmqueue/目录垃圾文件,放置inode节点被占满
.变更默认的ssh服务端口,禁止root用户远程连接
.锁定关键文件系统
.调整文件描述符大小
.调整字符集,使其支持中文
.去除系统及内核版本登录前的屏幕显示
.历史记录
.内核参数优化
.升级具有典型漏洞的软件版本
.关闭多余的控制台及禁止ctrl+alt+del修改/etc/inittab文件注释掉多余的控制台,保留2个就可以防止资源浪费
#3:2345:respawn:/sbin/mingetty tty3
.禁止ctrl+alt+del快捷键,防止误操作强制关机
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
.网络优化,禁止ping,多台ping服务器会ping崩溃服务器(老服务器),防止黑客攻击途径
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
CentOS防火墙和系统安全防护和优化相关推荐
- 防火墙和系统安全防护和优化
防火墙 防火墙 -网络用语 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15). ...
- 防火墙和系统安全防护与优化
防火墙 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15).它是一种位于内部网络 ...
- 防火墙和系统安全防护及优化
部分摘录自百度百科 一:防火墙 1.什么是防火墙技术 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内.外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全 ...
- 防火墙和系统安全防护
参考文档https://blog.csdn.net/u010081690/article/details/52690267 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网 ...
- 网站系统安全防护体系建设方案
网站系统安全防护体系建设方案 目录 一.需求说明... 2 二.网页防篡改解决方案... 4 2.1 技术原理... 4 2.2 部署结构... 5 2.3 系统组成... 6 2.4 集群与允余部署 ...
- linux防火墙服务无法开启,如何解决centos防火墙无法启动
如何解决centos防火墙无法启动? CentOS防火墙无法启动,在线服务器都需要开启防火墙服务,这是linux系统安全防护最直接有效方式. 1.如果出现service iptables start ...
- CentOS防火墙配置方法-详细解读如何配置CentOS防火墙
iptables-save >/etc/sysconfig/iptables (保存配置文件) 在重启iptables 服务或者在重启系统时候不会消失已经开启的端口 对CentOS防火墙的设置 ...
- CentOS 6.0 系统 LAMP(Apache+MySQL+PHP)安装步骤
转自:http://down.chinaz.com/server/201109/1064_1.htm 先来解释一下,什么是 LAMP.正如标题所言,LAMP 实际上就是 Linux.Apache.My ...
- 序号47指标横向展示.xlsx_电力监控系统安全防护规定Akey310参数指标
电力监控系统安全防护规定Akey310参数指标 系统以计算机.通讯设备.测控单元为基本工具,根据现场实际情况采用现场总线.光纤环网或无线通讯中的一种或多种结合的组网方式,为大型公共建筑的实时数据采集及 ...
最新文章
- pythonexcel运用_python怎样在excel中应用?
- Centos7 安装Mini后相关配置
- 12v小型电机型号大全_电机型号参数大全,再不怕看不懂型号了!建议收藏
- html怎么自动设为底部,让底部永远在页面最底部显示的css方法
- Linux 和 Windows 平台不同的 UCS-2 编码
- [TJOI2012] 旅游(树的直径)
- linspace函数matlab_从零开始的matlab学习笔记——(29)泰勒逼近函数
- 错误: 找不到或无法加载主类 org.apache.hadoop.hbase.util.GetJavaProperty
- 利用权限禁止QQ的自动升级(QQUpdateCenter)
- zabbix agent安装_OpenSUSE RPM安装 zabbix-agent
- 企业数字化转型热潮下,IT技术领导者的10大使命
- LeetCode 98 验证二叉搜索树
- 软件项目管理复习题库(学生自制非官方)
- 情人节能有什么好作品?教你用Scratch写一个!
- 织梦DedeCMS列表页给推荐的文章添加推荐特荐图标
- [Chatter] 为甚么要学Design Pattern
- html5+交友app,国内5款高质量陌生人社交软件,你玩过几个
- JavaWeb在线刷题系统
- ​LeetCode刷题实战546:移除盒子
- SAP灵活工作流(Flexible Workflow)