注:服务器版本ubunto14.04
一、修改默认ssh连接端口
1.进入ssh配置文件:
sudo vi /etc/ssh/sshd_config
2.修改端口号,同时在最下方允许当前用户ssh登录
Port 22888
AllowUsers codeww root
3.重启服务:
sudo service ssh restart
4.为了网站安全关闭root用户登录
sudo vi /etc/ssh/sshd_config
修改下列内容(允许root登录):
PermitRootLogin no
PS:注意如果使用阿里云,需要注意将安全组的端口放开(入方向跟出方向,并且sshd_config中要添加root root用户才能访问)
二、iptables配置:
1.更新操作系统:
sudo apt-get update && sudo apt-get upgrade
2.把iptables的规则清空掉
sudo iptables -F
3.新建规则目录:
sudo vi /etc/iptables.up.rules
4.设定iptables
sudo iptables-restore < /etc/iptables.up.rules
5.开启防火墙
sudo ufw enable
6.建立脚本开机启动
sudo vi /etc/network/if-up.d/iptables
脚本中内容:
#!/bin/sh
iptables-restore /etc/iptables.up.rules
7.增加权限
sudo chmod +x /etc/network/if-up.d/iptables
ps:iptables.up.rules中的内容如下所示:
*filter
#allow all connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#allow out traffic
-A OUTPUT -j ACCEPT
#allow http https
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 8080 -j ACCEPT
#allow ssh port login
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 32738 -j ACCEPT
#ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#mongodb connect
-A INPUT -s 127.0.0.1 -p tcp --destination-port 27017 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -d 127.0.0.1 -p tcp --source-port 27017 -m state --state ESTABLISHED -j ACCEPT
#log denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7
#drop incoming sensitive connections
-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 150 -j DROP
#reject all other inbound
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
三、file2ban配置:
1.安装file2ban:
sudo apt-get install fail2ban
2.修改fail2ban的配置:
sudo vi /etc/fail2ban/jail.conf
3:查看fail2ban运行状态:
sudo service fail2ban status
sudo service fail2ban start(开启)
sudo service fail2ban stop(guan)