CentOs web服务器安全防范经验总结

1.禁用ROOT权限登录。(重要)

2.安全组收缩不使用的端口，建议除443/80以及ssh登录等必要端口外全部关闭。

3.防火墙收缩不使用的端口，建议除443/80以及ssh登录端口外全部关闭。

4.更改ssh默认端口22

5.除登录USER，禁止其他用户su到root进程，并且ssh开启秘钥及密码双层验证登录。(重要)

6.限制除登录USER外的其他用户登录。

7.安装DenyHosts，防止ddos攻击。

8.禁止系统响应任何从外部/内部来的ping请求。

9.保持每天自动检测更新。

10.禁止除root之外的用户进程安装软件及服务，如有需要则root安装，chown给到用户。

11.定时给服务器做快照。

12.更改下列文件权限：

13.限制普通用户使用特殊命令，比如wget，curl等命令更改使用权限，一般的挖矿程序主要使用这几种命令操作。

1.nginx进程运行在最小权限的子用户中，禁止使用root用户启动nginx。(重要)

2.配置nginx.conf，防范常见漏洞：

1.禁止root权限启动apache服务！禁止root权限启动apache服务！禁止root权限启动apache服务！重要的事情说三遍！因为这个问题被搞了两次。

2.改掉默认端口。

3.清空webapps下除自己服务外的其他文件，删除用户管理文件，防止给木马留下后门。

4.限制apache启动进程su到root进程以及ssh登录，限制启动进程访问除/home/xx自身目录外的其他文件。

5.限制apache启动进程操作删除以及编辑文件，一般a+x即可。

1.关闭外网连接，与java/php服务使用内网连接。

2.在满足java/php服务的基础上，新建最小权限USER给到服务使用，禁止USER权限访问其他项目的库。

3.root密码不要与普通USER相同。

4.建议使用云库，云库具备实时备份，动态扩容，数据回退等功能，减少操作风险。

1.关闭外网连接，只允许内网交互，基本这个做了之后就已经稳了。

2.禁止root权限启动，运行在普通用户进程里。

3.更改默认端口。

4.添加登录密码。

以上是自己做的防范手段，不成熟见解，有一些方案待验证，不定时更新，欢迎大佬补充！

1、首先需要将xshell软件打开并连接到centos主机，然后输入命令“systemctlstatusfirewalld.service”并按下回车键。

/iknow-pic.cdn.bcebos.com/72f082025aafa40f5ee53530a564034f78f0193f"target="_blank"title="点击查看大图"class="ikqb_img_alink">/iknow-pic.cdn.bcebos.com/72f082025aafa40f5ee53530a564034f78f0193f?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="https://iknow-pic.cdn.bcebos.com/72f082025aafa40f5ee53530a564034f78f0193f"/>

2、然后在下方可以查看得到“active（running）”，此时说明防火墙已经打开了。

/iknow-pic.cdn.bcebos.com/9f510fb30f2442a7d5a90648df43ad4bd01302b3"target="_blank"title="点击查看大图"class="ikqb_img_alink">/iknow-pic.cdn.bcebos.com/9f510fb30f2442a7d5a90648df43ad4bd01302b3?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="https://iknow-pic.cdn.bcebos.com/9f510fb30f2442a7d5a90648df43ad4bd01302b3"/>

3、在命令行中输入systemctlstopfirewalld.service命令，进行关闭防火墙。

/iknow-pic.cdn.bcebos.com/71cf3bc79f3df8dc379c747cc311728b461028be"target="_blank"title="点击查看大图"class="ikqb_img_alink">/iknow-pic.cdn.bcebos.com/71cf3bc79f3df8dc379c747cc311728b461028be?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="https://iknow-pic.cdn.bcebos.com/71cf3bc79f3df8dc379c747cc311728b461028be"/>

4、然后再使用命令systemctlstatusfirewalld.service，在下方出现disavtive（dead），这样就说明防火墙已经关闭。

/iknow-pic.cdn.bcebos.com/c75c10385343fbf235c05dcebe7eca8064388f6b"target="_blank"title="点击查看大图"class="ikqb_img_alink">/iknow-pic.cdn.bcebos.com/c75c10385343fbf235c05dcebe7eca8064388f6b?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="https://iknow-pic.cdn.bcebos.com/c75c10385343fbf235c05dcebe7eca8064388f6b"/>

5、再在命令行中输入命令“systemctldisablefirewalld.service”命令，即可永久关闭防火墙。

/iknow-pic.cdn.bcebos.com/7dd98d1001e93901be7277d375ec54e737d196ef"target="_blank"title="点击查看大图"class="ikqb_img_alink">/iknow-pic.cdn.bcebos.com/7dd98d1001e93901be7277d375ec54e737d196ef?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="https://iknow-pic.cdn.bcebos.com/7dd98d1001e93901be7277d375ec54e737d196ef"/>

CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙步骤。

1、关闭firewall：

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

firewall-cmd --state #查看默认防火墙状态（关闭后显示notrunning，开启后显示running）

2、iptables防火墙（这里iptables已经安装，下面进行配置）

vi/etc/sysconfig/iptables #编辑防火墙配置文件

# sampleconfiguration for iptables service

# you can edit thismanually or use system-config-firewall

# please do not askus to add additional ports/services to this default configuration

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT[0:0]

:OUTPUT ACCEPT[0:0]

-A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -jACCEPT

-A INPUT -i lo -jACCEPT

-A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -jACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080-j ACCEPT

-A INPUT -j REJECT--reject-with icmp-host-prohibited

-A FORWARD -jREJECT --reject-with icmp-host-prohibited

COMMIT

:wq! #保存退出

备注：这里使用80和8080端口为例。***部分一般添加到“-A INPUT -p tcp -m state --state NEW -m tcp--dport 22 -j ACCEPT”行的上面或者下面，切记不要添加到最后一行，否则防火墙重启后不生效。

systemctlrestart iptables.service #最后重启防火墙使配置生效

systemctlenable iptables.service #设置防火墙开机启动

---