某日,早晨起来发现一台机器通过ssh无法操作了,密码老是错误,该机器完全裸露在互联网,ssh以root登录,防火墙没有开启,还启动着若干服务;确认是被黑客入侵了,不过这人也够傻的,偷偷的寄宿就行了,傻到把root密码修改掉了;无奈,只好去现场维护了;维护步骤如下:
1.单机模式下修改root密码:
1,在进入选择菜单时,可按上下键让其停留在此菜单,按字母'e',再选择kernel再按'e'进入编辑,在=/下输入single进入单用户模式,回车确定
2.再按'b'启动到单用户模式
3.进入后,在提示符里输入passwd, 现在你可以重新输入密码了
2.禁止root通过SSH远程登录访问与限制某些用户远程登录
/etc/ssh/sshd_config文件
修改sshd监听端口,禁止root用户远程登录:
vi /etc/ssh/sshd_config
Port 50022
Protocal 2
PermitRootLogin no
Service sshd restart
[root@linuxsir001 root]# service sshd restart
3.限制某些用户远程登录
This account is currently not available.
有时同一个group的用户,某些可以登录,某些禁止远程登录,查看帐号信息(/etc/passwd),帐号信息的shell为/sbin/nologin的为禁止远程登录,如要允许,则改成可以登录的shell即可,如/bin/bash。
4.修改用户名和密码:
以用户name为例,
添加用户:useradd name,
设置密码:passwd name,然后根据提示,输入两次密码即可。
删除用户:userdel name,其实并没有完全删除,只是该用户不能登陆,其目录下的文件还在保留。
5.Grub加密
为grub密分为二种,一是明文,二是采用MD5算法的加密。
明文加密:编辑 grub.conf文件
vim /boor/grub/grub.conf 在default=0下面加一行 password=1234567890(这个就是明文密码)
MD5加密:先要命令 grub-md5-crypt计算出MD5的值,然后复制这个值到grub.conf文件中 password --md5$BYxEn$e5X/xOTS2pTpPPWtgIMhU1(这个就是用MD5加密后的值)
6.启用防火墙,仅允许ssh访问
iptables –P INPUT DROP
iptables –A INPUT –p tcp –dport 50022 –j ACCEPT
iptables –A OUTPUT –p tcp –sport 50022 –j ACCEPT
iptables-save >/home/iptables_bak
iptables-restore</home/iptables_bak