腾讯云服务部署（Centos7）+ 安全加固配置

最近在学习大数据，前几个礼拜购入3台最便宜的腾讯云服务用于搭建集群，谁曾想就在昨天下午，服务器突然遭到木马攻击变成了3台矿机，多种手段试了无法对抗，最终无奈只能重装系统，并记录了自己对服务器部署和安全加固的过程。
有大佬如果有更好的加固建议，不妨给留个言·~~~~~

最后希望别再被攻击了~~~~

1. 控制台安全配置

1.1 安全组配置

截屏2021-05-15 14.48.47.png

1.2 sshkey配置

截屏2021-05-15 14.50.35.png

截屏2021-05-15 14.52.13.png

1.3 设置MFA二次认证

用户安全设置中绑定MFA，增加部分操作的二次认证。绑定过程需要微信添加虚拟MFA，操作还是比较简单的，可以自行参阅指导文档。

截屏2021-05-15 14.53.41.png

2. 重装系统

2.1 选择操作系统版本重装系统

截屏2021-05-15 15.02.06.png

选中自己的服务器，点击更多，重装系统后，提示以上页面。

在服务市场选中需要安装的镜像，我这里选的是腾讯云安全加固镜像-centos7

可以先选中密码或者直接密钥登陆，如果使用密码建议使用随机16位密码进行配置。

最后开始重装，系统一会就重装好了。

2.2 VNC登陆系统，修改sshd服务

这里介绍VNC登陆方式，主要是避免一部分无法使用ssh登陆服务器的，如果可以直接ssh登陆服务器的可以不用vnc登陆

截屏2021-05-15 15.08.45.png

点击VNC方式登陆，提示登陆用户名和密码，输入即可登陆服务器。

2.3 关闭服务器，加载安全组，sshkey

需要从控制台加载sshkey的话，需要关闭服务器。

截屏2021-05-15 17.35.49.png

加载完成后，服务器开机，尝试使用ssh登陆服务器

3. 系统安全加固

3.1 增加小号，关闭root的ssh登陆权限

##useradd 一个新用户
useradd sysrls

##配置新用户的sshkey连接
mkdir ~/.ssh
chmod 0700 ~/.ssh
vi ~/.ssh/authorized_keys  ##添加公钥信息到配置中，使用配置sshkey方式sysrls用户


##关闭sshd_config配置中root用户登陆，修改sshd_config
PermitRootLogin no

不想增加小号也可以修改为不允许密码登陆root

##修改sshd_config
PermitRootLogin without-password

3.2 sudoers配置

将sysrls用户加入sudo列表中，方便从sysrls用户切换用户等操作。

##添加sudoers的配置,修改/etc/sudoers,增加一行配置
sysrls  ALL=(ALL)       ALL   ##如果增加NOPASSWD是表示无密码运行

3.3修改ssh登陆端口并增加安全组配置

##修改sshd_config
Port 41000

同时增加安全组配置（如果服务器firewalld或者iptables服务开着，还需要在服务器中配置端口放行）

截屏2021-05-15 13.42.37.png

3.4关闭密码登陆并且禁用修改密码避免绕开关闭密码登陆的问题

##修改sshd_config
PasswordAuthentication no           ##禁止密码登陆

##配合PAM的时候，Challenge Password会绕过PasswordAuthentication的配置。所以Challenge Password也需要配置为no
ChallengeResponseAuthentication no

3.5检查是否有无用的用户，有则禁用

禁用用户登陆的方法

##修改/etc/passwd
ydsec:x:1000:0::/home/ydsec:/sbin/nologin  ##配置/sbin/nologin即可禁止用户登陆

或者可以使用 passwd -l 用户来禁用用户

---

在系统加固安全防护上我还是个弟弟，所以只能稍微尽点人事，降低被木马的概率。