2.下载UItralSO软件并安装在计算机上,并在U盘上写入下载的Centos系统。(这里拿Winserver2012举例)
1.首先要格式化U盘,请确保你的U盘没有重要的数据,如果有请先备份。
2. 点击启动->写入硬盘影像->选择硬盘驱动器(这里选择你的U盘)->刻录校验(选中)->检查你的映像文件是否为Centos7->选择写入方式(默认为USB-HDD+) ->隐藏启动分区(选择无)->点击写入
3.至此,U盘写入完成。
小菜鸡第一次接触惠普的服务器,装系统绕了不少弯路
插入U盘后,开启,出现这个页面
按照装机经验,一般都想进入BIOS或System Utilities(因此在机房呆了一个下午。。。)
此处运气好就直接进入到安装界面了,如果你运气不好,出现了以下问题:
还会出现一堆warning,此时要做的只有等待
等到最后会出现命令行光标,输入 ls /dev/sd* ,查看自己所有的分区,一般U盘为最后一个,我的为/dev/sdb4,记住后输入reboot重启
重新按照上面的步骤进入到这个界面后,不要按enter,编辑启动路径:有些电脑是按e,有的电脑是按tab,之后会出现下面这行命令
把红色框住的地方改为刚刚ls后出现的你U盘系统所在的分区,即此行我改为>vmlinuz initrd=initrd.img inst.stage2=hd:/dev/sdb4 quiet
之后按enter,就是普通centos系统安装引导了。
为了不白费我困在机房一整个下午,还是把我走过的弯路放出来给大家瞧瞧
进入F9 System Utilities 的界面如下:
到了这个页面进入第二项“一次性启动菜单”也可以进入到Boot Menu
进入F11 Boot Menu 的界面如下:
其实到了这里选usb启动也是可以的,我失败的原因估计也是u盘引导没有改过来(就是这里搞了好久。。。机子又慢,简直崩溃)
如果进入到这个界面,还有一种方法就是选最后一项“旧版 BIOS”,也就是我们熟悉的蓝屏界面
关闭ping扫描,虽然没什么卵用
先切换到root
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭
0代表开启
用iptables
iptables -I INPUT -p icmp -j DROP
简单介绍下基本的 dedecms _aq/' target='_blank'>安全设置
一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root
这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限
以下是具体做法(需要在root下)
添加普通用户
useradd xxx
设置密码
passwd xxx
这样就创建好了一个普通用户
禁止root登录
vi /etc/ssh/sshd_config
PermitRootLogin no
Systemctl restart sshd
这样就完成了第一步,之后root就无法登录服务器只能通过普通用户su切换
二、修改ssh的默认端口22,因为ssh的端口是22,我们如果修改了该端口,他们就需要花费一点时间来扫描,稍微增加了点难度
以下将端口改为51866可以根据需要自己更改,最好选择10000-65535内的端口
step1 修改/etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#Port 22 //这行去掉#号
Port 51866 //下面添加这一行
为什么不先删除22,以防其他端口没配置成功,而又把22的删除了,无法再次进入服务器
step2 修改SELinux
安装semanage
$ yum provides semanage
$ yum -y install policycoreutils-python
使用以下命令查看当前SElinux 允许的ssh端口:
semanage port -l | grep ssh
添加51866端口到 SELinux
semanage port -a -t ssh_port_t -p tcp 51866
注:操作不成功,可以参考:https://sebastianblade.com/how-to-modify-ssh-port-in-centos7/
失败了话应该是selinux没有打开
然后确认一下是否添加进去
semanage port -l | grep ssh
如果成功会输出
ssh_port_t tcp 51866, 22
step3 重启ssh
systemctl restart sshd.service
查看下ssh是否监听51866端口
netstat -tuln
Step4 防火墙开放51866端口
firewall-cmd --permanent --zone=public --add-port=51866/tcp
firewall-cmd --reload
然后测试试试,能不能通过51866登录,若能登录进来,说明成功,接着删除22端口
vi /etc/ssh/sshd_config
删除22端口 wq
systemctl restart sshd.service
同时防火墙也关闭22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp
注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网,需要做端口映射)
三、使用一些类似DenyHosts预防SSH暴力破解的软件(不详细介绍)
其实就是一个python脚本,查看非法的登录,次数超过设置的次数自动将ip加入黑名单。
四、使用云锁(不详细介绍)
参考自http://tim-fly.iteye.com/blog/2308234
总的来说做好了前两步能够减少至少百分之五十的入侵,在做好第三步之后,基本可以杜绝百分之八十以上的入侵。当然最重要的还是自己要有安全意识,要多学习一些安全知识和linux的知识。
第三第四其中都有稍微提到一点,感兴趣可以看看
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)