腾讯云服务部署(Centos7)+ 安全加固配置

最近在学习大数据,前几个礼拜购入3台最便宜的腾讯云服务用于搭建集群,谁曾想就在昨天下午,服务器突然遭到木马攻击变成了3台矿机,多种手段试了无法对抗,最终无奈只能重装系统,并记录了自己对服务器部署和安全加固的过程。
有大佬如果有更好的加固建议,不妨给留个言·~~~~~

最后希望别再被攻击了~~~~

1. 控制台安全配置

1.1 安全组配置

截屏2021-05-15 14.48.47.png

1.2 sshkey配置

截屏2021-05-15 14.50.35.png
截屏2021-05-15 14.52.13.png

1.3 设置MFA二次认证

用户安全设置中绑定MFA,增加部分操作的二次认证。绑定过程需要微信添加虚拟MFA,操作还是比较简单的,可以自行参阅指导文档。

截屏2021-05-15 14.53.41.png

2. 重装系统

2.1 选择操作系统版本重装系统

截屏2021-05-15 15.02.06.png

选中自己的服务器,点击更多,重装系统后,提示以上页面。

在服务市场选中需要安装的镜像,我这里选的是腾讯云安全加固镜像-centos7

可以先选中密码或者直接密钥登陆,如果使用密码建议使用随机16位密码进行配置。

最后开始重装,系统一会就重装好了。

2.2 VNC登陆系统,修改sshd服务

这里介绍VNC登陆方式,主要是避免一部分无法使用ssh登陆服务器的,如果可以直接ssh登陆服务器的可以不用vnc登陆

截屏2021-05-15 15.08.45.png

点击VNC方式登陆,提示登陆用户名和密码,输入即可登陆服务器。

2.3 关闭服务器,加载安全组,sshkey

需要从控制台加载sshkey的话,需要关闭服务器。

截屏2021-05-15 17.35.49.png

加载完成后,服务器开机,尝试使用ssh登陆服务器

3. 系统安全加固

3.1 增加小号,关闭root的ssh登陆权限

##useradd 一个新用户
useradd sysrls

##配置新用户的sshkey连接
mkdir ~/.ssh
chmod 0700 ~/.ssh
vi ~/.ssh/authorized_keys  ##添加公钥信息到配置中,使用配置sshkey方式sysrls用户


##关闭sshd_config配置中root用户登陆,修改sshd_config
PermitRootLogin no

不想增加小号也可以修改为不允许密码登陆root

##修改sshd_config
PermitRootLogin without-password

3.2 sudoers配置

将sysrls用户加入sudo列表中,方便从sysrls用户切换用户等操作。

##添加sudoers的配置,修改/etc/sudoers,增加一行配置
sysrls  ALL=(ALL)       ALL   ##如果增加NOPASSWD是表示无密码运行

3.3修改ssh登陆端口并增加安全组配置

##修改sshd_config
Port 41000

同时增加安全组配置(如果服务器firewalld或者iptables服务开着,还需要在服务器中配置端口放行)

截屏2021-05-15 13.42.37.png

3.4关闭密码登陆并且禁用修改密码避免绕开关闭密码登陆的问题

##修改sshd_config
PasswordAuthentication no           ##禁止密码登陆

##配合PAM的时候,Challenge Password会绕过PasswordAuthentication的配置。所以Challenge Password也需要配置为no
ChallengeResponseAuthentication no

3.5检查是否有无用的用户,有则禁用

禁用用户登陆的方法

##修改/etc/passwd
ydsec:x:1000:0::/home/ydsec:/sbin/nologin  ##配置/sbin/nologin即可禁止用户登陆

或者可以使用 passwd -l 用户来禁用用户


在系统加固安全防护上我还是个弟弟,所以只能稍微尽点人事,降低被木马的概率。

你可能感兴趣的:(腾讯云服务部署(Centos7)+ 安全加固配置)