本文主要给大家详细介绍了linux中centos7系统加固的相关知识点，希望能帮助到大家。

注意：此教程的云服务器以centos7以上为例，云服务器于阿里云购买

其他服务商的云服务器配置大同小异

建议：linux的服务器不建议安装图形化工具，因为占内存，占带宽，占资源，弊远大于利

手动更新系统：

yum -y update

防火墙配置：

service firewalld start //启动防火墙
systemctl enable firewalld.service //开机自启

selinux配置：

vim /etc/selinux/config

修改：

SELINUX=enforcing //设置强制模式
reboot //重启生效

ssh配置：（防暴力破解）

useradd normal //创建一个系统用户，设置只能通过这个用户远程登录系统
vim /etc/ssh/sshd_config

修改：

Port 2000 //端口必须大于1024
Protocol 2 //没有的话就添加，有就不用
PermitEmptyPasswords no //禁止空密码登录
X11Forwarding no //禁止端口转发
PermitRootLogin no //禁止root用户登录
MaxAuthTries 3 //允许三次尝试
LoginGraceTime 20 //在20秒内不能完成登录，则断开连接
AllowUsers normal //添加，只允许这个用户远程登录

保存退出，重启ssh

service sshd restart

防火墙开启ssh端口

firewall-cmd --zone=public --add-port=2000/tcp --permanent
firewall-cmd --reload

selinux开启ssh端口

yum -y install policycoreutils-python //安装selinux端口管理工具
semanage port -a -t ssh_port_t -p tcp 2000 //添加端口
semanage port -l |grep ssh //查看selinux开启的ssh端口
service sshd restart

防止IP SPOOF攻击

vim /etc/host.conf

末尾添加

nospoof on

禁止被ping

vim /etc/sysctl.conf

有则修改，无则添加

net.ipv4.icmp_echo_ignore_all=0

保存配置

sysctl -p

防火墙禁止被ping

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
firewall-cmd --reload

注意：也可以在阿里云控制台的安全组规则，删除允许ICMP协议的规则

每十多天更新一次系统，删除没有用到的软件，清除yum缓存

crontab -e

以下内容按需修改

0 0 */10 * * yum update -y
0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all

防火墙禁止端口扫描（centos7无效，端口还是被扫描出来了，不知道centos7以下是否生效）

iptables -F #清除防火墙策略
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop

卸载阿里云的云盾（安骑士），因为服务器本来就内存紧张，云盾弊大于利，卸载

wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

注意：卸载完成后，可以删除以上两个脚本文件。如果无法wget到文件，请联系站长索要！

屏蔽云盾IP，云盾会定期扫描服务器模拟黑客攻击

vim shield_ip.sh

添加如下内容：

#!/bin/bash
echo "开始屏蔽云盾扫描云服务器的IP"
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.0/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.16/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.192/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.184/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.183/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.206/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.195/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.204/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.0/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.192/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.192/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.223.0/26" drop'
firewall-cmd --reload

保存退出

chmod +x shield_ip.sh
./shield_ip.sh

注意：这些IP地址段来源于阿里云官方给的云盾服务器IP，来源：（https://help.aliyun.com/knowledge_detail/37436.html）

编码设置：

vim /etc/locale.conf

删除原有，添加如下内容：

LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提示

reboot //重启生效

进入阿里云控制台，云服务器ECS–>安全组–>配置规则–>添加安全组规则

安全组添加ssh端口，否则外网是无法进入的，包括ftp和apache的端口不在安全组开放的话

下载xshell远程登录软件，normal用户远程登录至linux系统，xshell的使用不再赘述，登录成功后

su - root //提权

注意：在阿里云控制台远程连接登录系统后，不能以任何用户一直处于登录状态，使用系统完后，必须退出用户登录，界面保持在需要输入用户名的界面

如：在阿里云控制台登录（而不是xshell登录），退出用户登录命令

logout //exit也可以

注意：root用户的话必须退出两次才可以

最后：在阿里云控制台–>安全（云盾）–>态势感知–>开启态势感知服务–>设置邮箱或短信提醒

相关推荐：

Centos7安装和配置Mysql5.7的方法分享

centos7上elastic search安装详解

Centos7在Linux下安装Mysql5.7.19的教程（图）

# centos7  # linux  # 重启  # 用户登录  # 远程登录  # 两次  # 希望能  # 请联系  # 英文  # 给大家  # 才可以  # 详细介绍 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 重庆市网站制作公司,重庆招聘网站哪个好？  如何用VPS主机快速搭建个人网站？  小米17系列还有一款新机？主打6.9英寸大直屏和旗舰级影像  今日头条AI怎样推荐抢票工具_今日头条AI抢票工具推荐算法与筛选【技巧】  香港服务器建站指南：外贸独立站搭建与跨境电商配置流程  制作旅游网站html,怎样注册旅游网站？  Laravel如何为API生成Swagger或OpenAPI文档  Python函数文档自动校验_规范解析【教程】  Laravel如何自定义分页视图？（Pagination示例）  🚀拖拽式CMS建站能否实现高效与个性化并存？  详解免费开源的.NET多类型文件解压缩组件SharpZipLib（.NET组件介绍之七）  悟空识字怎么关闭自动续费_悟空识字取消会员自动扣费步骤  图片制作网站免费软件,有没有免费的网站或软件可以将图片批量转为A4大小的pdf？  Laravel怎么返回JSON格式数据_Laravel API资源Response响应格式化【技巧】  Windows10如何更改计算机工作组_Win10系统属性修改Workgroup  如何用5美元大硬盘VPS安全高效搭建个人网站？  网站制作大概要多少钱一个,做一个平台网站大概多少钱？  大连企业网站制作公司,大连2025企业社保缴费网上缴费流程？  Laravel如何实现模型的全局作用域？（Global Scope示例）  怎么制作一个起泡网,水泡粪全漏粪育肥舍冬季氨气超过25ppm，可以有哪些措施降低舍内氨气水平？  html5如何设置样式_HTML5样式设置方法与CSS应用技巧【教程】  ,南京靠谱的征婚网站？  Laravel请求验证怎么写_Laravel Validator自定义表单验证规则教程  Win11怎么关闭专注助手 Win11关闭免打扰模式设置【操作】  谷歌浏览器下载文件时中断怎么办 Google Chrome下载管理修复  Laravel API资源类怎么用_Laravel API Resource数据转换  如何获取PHP WAP自助建站系统源码？  如何快速搭建安全的FTP站点？  js实现点击每个li节点，都弹出其文本值及修改  Laravel Blade组件怎么用_Laravel可复用视图组件的创建与使用  活动邀请函制作网站有哪些,活动邀请函文案？  Laravel怎么发送邮件_Laravel Mail类SMTP配置教程  Laravel如何创建自定义中间件？（Middleware代码示例）  微信小程序 scroll-view组件实现列表页实例代码  Laravel如何从数据库删除数据_Laravel destroy和delete方法区别  Windows家庭版如何开启组策略(gpedit.msc)？（安装方法）  如何用景安虚拟主机手机版绑定域名建站？  jQuery 常见小例汇总  如何在云服务器上快速搭建个人网站？  JS实现鼠标移上去显示图片或微信二维码  黑客入侵网站服务器的常见手法有哪些？  实例解析Array和String方法  Laravel路由Route怎么设置_Laravel基础路由定义与参数传递规则【详解】  如何用腾讯建站主机快速创建免费网站？  Win11怎么更改系统语言为中文_Windows11安装语言包并设为显示语言  如何在橙子建站上传落地页？操作指南详解  javascript日期怎么处理_如何格式化输出  历史网站制作软件,华为如何找回被删除的网站？  关于BootStrap modal 在IOS9中不能弹出的解决方法(IOS 9 bootstrap modal ios 9 noticework)  详解免费开源的DotNet二维码操作组件ThoughtWorks.QRCode（.NET组件介绍之四）