linux系统的加固，防火墙，弱口令的梳理

防火墙

开启防火墙：
systemctl start firewalld
systemctl enable firewalld

弱口令
openssl rand -base64 8 > /root/.passwd #生成随机密码，保存至/root/.passwd，保存好root密码后，可以删除此文件
cat /root/.passwd | passwd root --stdin #更改root密码

禁止root账号远程登录系统，并修改ssh默认端口(22)为2208端口
创建admin普通账号，ssh登录admin账号后，在使用 su root切换至root
useradd admin #添加admin账号
echo 1qaz2WSX | passwd admin --stadin #设置admin账号的密码为1qaz2WSX
sed -i ‘s@#PermitRootLogin yes@PermitRootLogin no@g’ /etc/ssh/sshd_config
sed -i ‘s@#Port 22@Port 2208@g’ /etc/ssh/sshd_config
systemctl restart sshd
firewall-cmd --permanent --add-port=2208/tcp #防火墙开放ssh新端口
firewall-cmd --reload
更改后ssh登录方式：
ssh -l admin -p 2208 192.168.251.244 #ip替换为本机ip

开放端口

Docker Swam开放端口：
2377/tcp 集群管理端口
7946/tcp/udp 节点通信端口
4789/tcp/udp 网络通讯端口

防火墙开启命令：
firewall-cmd --permanent --add-port=2377/tcp
firewall-cmd --permanent --add-port=7946/tcp
firewall-cmd --permanent --add-port=7946/udp
firewall-cmd --permanent --add-port=4789/udp
firewall-cmd --permanent --add-port=4789/tcp
firewall-cmd --reload

NFS开放端口：
NFS需要开放端口比较多，建议集群节点相互加入IP白名单，如果是集群环境，ECM所有节点需要相互加为白名单
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“10.0.0.0/8” accept”
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“1.2.3.4” accept”
accept也可以拒绝一个ip的连接
firewall-cmd –reload

keepalived开放端口
firewall-cmd --permanent --add-protocol=vrrp
firewall-cmd --reload