linux 维护

linux 维护

SSH配置：

1、修改vi /etc/ssh/sshd_config，根据模板将要修改的参数注释去掉并修改参数值：

Port 22 指定SSH连接的端口号，安全方面不建议使用默认22端口

Protocol 2,1 允许SSH1和SSH2连接，建议设置成 Protocal 2

其他参数根据自己的需要进行调整。配置方法详见： man ssh_config

2、修改hosts.deny 在最后面添加一行：

sshd:All

3、修改hosts.allow 在最后面添加一行：

sshd:All

如果为了安装可以限制访问的IP，设置如下：

sshd:192.168.0.101

sshd:192.168.0.102

上述配置表示只允许101和102的服务器进行SSH连接

4、启动SSH

/etc/init.d/sshd start

# chkconfig --list |grep sshd

sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off

#chkconfig --level 2345 sshd on

iptables

# Generated by iptables-save v1.4.7 on Tue Feb  7 19:06:20 2012
*filter
:INPUT ACCEPT [100:10222]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [75:7016]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Tue Feb  7 19:06:20 2012

（1）屏蔽所有端口 

（2）把SSH的缺省端口设置为56565 

（3）把56565、80、3306端口打开 

（4）把3306端口设置为只允许本机访问

 

如果没有安装iptables的话，运行命令yum install iptables完成iptables安装

 

初始化安装以后，显示为以下信息：

 

[root@tp ~]# iptables -L -n

 

Chain INPUT (policy ACCEPT)

 

target prot opt source destination

 

Chain FORWARD (policy ACCEPT)

 

target prot opt source destination

 

Chain OUTPUT (policy ACCEPT)

 

target prot opt source destination

（1）屏蔽所有端口

 

[root@tp ~]# iptables -F

[root@tp ~]# iptables -X

[root@tp ~]# iptables -P INPUT DROP

[root@tp ~]# iptables -P OUTPUT DROP

[root@tp ~]# iptables -P FORWARD DROP

当超出了IPTABLES里filter表里的两个链规则 (INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)，有同学喜欢配置OUTPUT为accpet，因为如果 被入侵，对方可以使用服务器做为中转，发起攻击，也会产生大量的数据包，所以这里配置为DROP

 

（2）把SSH的缺省端口设置为56565

 

在修改ssh端口时，应先把要修改的端口号56565加入白名单

 

[root@tp ~]# iptables -A INPUT -p tcp --dport 56565 -j ACCEPT

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 56565 -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

[root@tp ~]# service iptables restart

再修改端口号

 

[root@linux ~]# vi /etc/ssh/sshd_config

将"#Port 22"修改为"Port 56565"

 

重启ssh服务

 

[root@linux ~]# /etc/init.d/sshd restart

Stopping sshd: [ OK ]

Starting sshd: [ OK ]

如果想看看sshd端口号是否修改成功的话，可以使用 netstat -an 命令查看一下或退出ssh使用新端口号登陆尝试。

 

（3）把80端口打开

 

[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

[root@tp ~]# service iptables restart

（4）把3306端口设置为只允许本机访问

 

[root@tp ~]#/sbin/iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT

[root@tp ~]#/sbin/iptables -A OUTPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT

http://gzjhj88.blog.51cto.com/1049760/629563

http://www.redicecn.com/html/qita/20110331/243.html

http://wenku.baidu.com/view/94fadf1252d380eb62946d95.html

http://www.bugbeta.cn/?p=495

http://gzjhj88.blog.51cto.com/1049760/629563

http://gzjhj88.blog.51cto.com/1049760/315021