运维防黑小技巧

1、禁用root账户
修改、/etc/ssh/sshd_config
查找#“PermitRootLogin yes” 去掉#号,并将yes改成no,重启ssh服务生效
systemctl restart sshd
2、修改sshd默认端口
修改、/etc/ssh/sshd_config
找到#Pot 22 字段去掉#号,将端口改成其他不被使用的端口,重启服务生效
3、放行指定IP 网段IP登入
vi /etc/ssh/sshd_config
在文件最后一行加上:AllowUsers [email protected]
4、使用usermod锁住不安分账户
usermod -L jak #锁住jak
usermod -U jak #解锁jak
5、设置密码为丢失
修改用户配置文件/etc/shadow, 改动第二栏设置为””,再次启用拿掉号,重新给账户设置密码
6、通过更改不安分账户的shell
7、禁止所有用户登入,当然root 用户除外
在/etc/目录下建立nologin文档,解禁删除此文档。
8锁死账户密码,防止***恶意篡改
passwd -l jak
passwd -l jak 解除锁定
9、设置文件系统权限
chattr -i /opt/a.txt 不允许任何人删除文件、更改文件的内容,
10、设置冒险位
chmod -v o+t /opt/a.txt 只允许每个用户删除自己的文件
11、设置FACL权限
setfacl -m u:jak:rw /opt/a.txt 精确授权让某个用户对某个文件有某种权限。其他人不享有
getfacl /opt/a.txt 查看文件的FACL权限

后续陆续更新