http://www.jianshu.com/p/6d6a00ee6c23
1. 配置SSH安全访问密钥,关闭密码登录
a.参考SecureCRT密钥连接Linux,使用SecureCRT在本机生成公私密钥
b.在VPS对应的用户目录下,新建.ssh文件夹,并上传公钥,然后更名为authorized_keys,并修改权限,如下
mkdir ~/.ssh #如果当前用户目录下没有 .ssh 目录,就先创建目录
chmod 700 ~/.ssh
mv id_rsa.pub ~/.ssh
cd .ssh
mv id_rsa.pub authorized_keys
chmod 600 authorized_keys
c.关闭ssh密码登录
vim /etc/ssh/sshd_config
PasswordAuthentication no #此处改为no
d.【可选】添加普通用户
useradd roubin
passwd roubin
e.【可选】禁止root登陆
vim /etc/ssh/sshd_config
PermitRootLogin no #此处改为no
f.重启ssh服务
service sshd restart
g.备份公私密钥
2.更改SSH端口及设置
vim /etc/ssh/sshd_config
Port 22222 #更改默认端口号
MaxAuthTries 5
PermitEmptyPasswords no #不允许空密码
service sshd reload
iptables -I INPUT -p tcp --dport 22222 -j ACCEPT #CentOS 6 中防火墙开启对应端口
firewall-cmd --zone=public --add-port=22222/tcp --permanent #CentOS 7 中防火墙开启对应端口
3.锁定口令文件
[root@localhost /]# chattr +i /etc/passwd
[root@localhost /]# chattr +i /etc/shadow
[root@localhost /]# chattr +i /etc/group
[root@localhost /]# chattr +i /etc/gshadow
4.终极杀手锏 iptables
iptables,一个运行在用户空间的应用软件,通过控制Linux内核netfilter模块,来管理网络数据包的流动与转送。在大部分的Linux系统上面,iptables是使用/usr/sbin/iptables来操作,文件则放置在手册页(Man page[2])底下,可以通过 man iptables 指令获取。通常iptables都需要内核层级的模块来配合运作,Xtables是主要在内核层级里面iptables API运作功能的模块。因相关动作上的需要,iptables的操作需要用到超级用户的权限。
# 清除已有iptables规则
iptables -F
# 允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口,以下几条相同,分别是22,80,443端口的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#禁止其他未允许的规则访问(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
#Block traffic to non-HTTP port
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
#保存防火墙规则
service iptables save
#设置防火墙开机启动
chkconfig --level 345 iptables on
5安装fail2ban防止暴力破解
57.阻止百度收录真实位置
恩,免得上门查水表
vim /etc/hosts
0.0.0.0 api.map.baidu.com
0.0.0.0 ps.map.baidu.com
0.0.0.0 sv.map.baidu.com
0.0.0.0 offnavi.map.baidu.com
0.0.0.0 newvector.map.baidu.com
0.0.0.0 ulog.imap.baidu.com
0.0.0.0 newloc.map.n.shifen.com
:: api.map.baidu.com
:: ps.map.baidu.com
:: sv.map.baidu.com
:: offnavi.map.baidu.com
:: newvector.map.baidu.com
:: ulog.imap.baidu.com
:: newloc.map.n.shifen.com