CentOS7安全设置 yum-cron系统自动更新,firewalld防火墙简单使用

PermitRootLogin no
systemctl restart sshd.service;

yum -y install firewalld;

systemctl start firewalld.service

cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services
修改<port protocol="tcp" port="22"/>
firewall-cmd --reload

firewall-cmd --zone=public --add-port=2222/tcp --permanent

AuthenticationMethods    publickey,password;

yum update cronie yum-cron
/etc/yum/yum-cron.conf
update_messages = yes,download_updates = yes,apply_updates = yes;
/bin/systemctl start crond;
/bin/systemctl start yum-cron.service

原文内容

安裝 CentOS  後必做的七件事
作者：阿恆  年  月  日 :  則迴響
分類: Security, Server

CentOS 是最多人用來運行伺服器的 Linux 版本，最新版本是 CentOS 。當你興趣勃勃地在一台主機或 VPS 上安裝 CentOS  後，首要的工作肯定是加強它的安全性，以下列出的七件事，是你進一步配置系統和安裝其他軟件前必須做的。
. 更改 root 密碼

若果你是自行安裝 CentOS  的話，安裝程序會讓你自行設定 root 的密碼。不過很多 VPS 服務商只會提供預先安裝好的 CentOS  映像檔，這種情況下他們會透過主控界面告訴你 root 的密碼，這個密碼的安全性誰也不知道，它是如何產生的呢？隨機性可靠嗎？複雜性足夠嗎？服務商的伺服器是否記錄了密碼的副本？我們實在有必要第一時間重設這個密碼。

首先使用 ssh 登入伺服器，在 Windows 可以使用 Putty、Tera Term、或者在 Cygwin 環境下執行 OpenSSH。在 Mac 和 Linux 上只需在終端機 (terminal) 中執行以下指令便可以了，比 Windows 簡單得多：

首次 ssh 到伺服器

由於你從來沒有使用過 ssh 聯繫到這台伺服器，你的電腦會把伺服器的加密公鑰下載，然後詢問你是否信任它，這台新鮮安裝好的 CentOS  應該還未引起黑客的興趣，也不大可能在這麼短的時間內被攻陷，所以可以放心接受這個加密公鑰。跟著輸入 root 的密碼登入伺服器：

輸入 root 密碼兩次

登入後立即更改 root 的密碼，你需要輸入新密碼兩次：

更改 root 密碼

好的密碼應該同時包含數字、小寫英文字母、大寫英文字母、和標點符號，最少  個字符，這樣的密碼強度大概有  bit，勉強可以應付密碼被「暴力破解」，當然我假設了你的密碼是真正隨機產生，有些人喜歡把個人資料例如名字、出生日期、車牌號碼、地址、配偶和子女的名字等等崁入密碼中，或者使用字典裏的字詞拼湊密碼，這樣密碼的強度將會大幅下降，甚至不堪一擊，這些問題我曾經在《如何管理密碼？》討論過。

網上有很多隨機密碼產生器，例如 RANDOM.ORG，大都可用，但記緊必須使用 HTTPS 造訪這些網站。如果你有使用「密碼夾萬」一類的軟件，不妨使用它們內建的密碼產生器。

完成後不要登出系統，使用另一個視窗用新密碼嘗試登入，即使失敗也可以在原來的視窗重複以上步驟。
. 新增一個普通帳號

這一步連同下一步，相當於為一個城市築起兩道城牆，既可加強防衛，也建立了一道警報機制，當敵人（黑客）卒然來襲，第一道城牆被襲擊和破壞，我們還有第二道城牆阻延一下，有時間部署防衛甚至反擊。所以這是一個很多人忽略，但其實非常重要的步驟。

首先我們新增一個帳號：

新增一個帳號

這個新帳號 ahhang 沒有預設密碼，即是說登入 ahhang 時系統不用輸入密碼！所以我們立即要設定密碼：

設定 ahhang 的密碼

有些人認為不應該把建立帳號和設定密碼兩件事分開來做，一來可能會不慎遺忘，二來也給黑客一道時間縫隙登入這個新帳號，所以他們會在 adduser 指令中一併提供加密後的預設密碼，方法是加入 -p 參數，不過這樣做也有風險，因為黑客可以透過列出系統的進程，得知加密了的新密碼，然後把密碼破解。
. 禁止 root 使用 ssh 登入

CentOS  預設容許任何帳號透過 ssh 登入，包括 root 和一般帳號，為了不讓 root 帳號被黑客暴力入侵，我們必須禁止 root 帳號的 ssh 功能，事實上 root 也沒有必要 ssh 登入伺服器，因為只要使用 su 或 sudo (當然需要輸入 root 的密碼) 普通帳號便可以擁有 root 的權限。使用 vim (或任何文本編輯器) 開啓 /etc/ssh/sshd_config，尋找：
＃PermitRootLogin yes

＃PermitRootLogin yes

修改為：

PermitRootLogin no

PermitRootLogin no

最後輸入以下指令重新啟動 sshd：

systemctl restart sshd.service

systemctl restart sshd.service

這樣黑客要取得 root 的權限，必須破解 root 和一個普通用戶的密碼，難度增加了。

完成後不要登出系統，使用另一個視窗嘗試登入 root 和普通帳號，測試無誤便可進行下一步。
. 使用非常規的 ssh 端口

Ssh 預設使用端口 ，這是在 IANA 註冊的官方端口，但沒有人說 ssh 不能使用其他端口，很多黑客專門向伺服器的  端口發動攻擊，即使你的伺服器固若金湯、牢不可破，但是要系統日以繼夜接受攻擊，消耗的系統資源（網絡、處理器、記憶體等等）也不會少，何況它是否真的牢不可破還說不定呢！所以有必要讓 ssh 使用其他端口，只讓有權使用 ssh 的用戶知道。

使用 vim  (或任何文本編輯器) 開啓 /etc/ssh/sshd_config，尋找：
＃Port 

＃Port 

修改為：
Port 

Port 

你可以把  改為任何  –  之間的任何數字，若果怕與某些系統服務發生衝突，可以參考一下這裏。

跟著重新啟動 sshd：
systemctl restart sshd.service

systemctl restart sshd.service

然後是設定防火牆，CentOS  的內核已經有防火牆 netfilter，但你的系統未必安裝了用戶界面，較前版本的 CentOS 預設使用 iptables，但 CentOS  開始使用效能更高、穩定性更好的 firewalld，若果伺服器尚未安裝 firewalld，可以使用以下指令安裝，不確定是否已經安裝的話也可以輸入這個指令，它會告訴你已經安裝然後退出。
yum install firewalld

yum install firewalld

跟著啟動：
systemctl start firewalld

systemctl start firewalld

設定 firewalld 的方法有兩個，第一個是修改 firewalld 有關 sshd 的設定，把端口  改為 ，這是正統的做法，但步驟比較多；第二個是要求 firewalld 開啓端口 ，不指定它屬於哪一個服務，這個做法通常處理臨時的端口開啓／封鎖，步驟簡單，但是日後你要是忘記了這個端口為甚麼開啟了呢？什麼時候開啟的呢？為了哪一項服務開啟呢？可能有點麻煩。我兩種方法都會介紹一下，但作為專業的系統管理員（即使不是真正的專業，也應該具備這樣的心態），我推薦使用第一種方法。
設定防火牆方法一：

複製 firewalld 有關 sshd 的設定檔案：
cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

使用 vim  (或任何文本編輯器) 開啓 /etc/firewalld/services/ssh.xml，尋找：
<port protocol="tcp" port=""/>

  <port protocol="tcp" port=""/>

修改為：
<port protocol="tcp" port=""/>

  <port protocol="tcp" port=""/>

儲存後重新載入 firewalld：
firewall-cmd --reload

firewall-cmd --reload

設定防火牆方法二：

輸入以下指令：
firewall-cmd --zone=public --add-port=/tcp --permanent

firewall-cmd --zone=public --add-port=/tcp --permanent

就是這樣簡單！

不論使用哪種方法，完成後不要登出系統，使用另一個視窗嘗試登入，例如：
ssh -p  ahhang@192.168.1.188

ssh -p  ahhang@192.168.1.188

. 啟用公鑰驗證登入 ssh

現在只有普通帳號才能透過 ssh 登入伺服器，但是 ssh 提供一個更先進更安全的驗證方法：公鑰驗證法。

首先每一名用戶建立一對加密鑰匙（密鑰和公鑰），密鑰儲存在日常使用的電腦，公鑰則儲存在伺服器，使用 ssh 聯繫到伺服器的時候，電腦會把一些建立連線請求的資料，其中包括帳號名稱和公鑰，並且把部分資料用密鑰製作數碼簽署，一股腦兒送到伺服器，伺服器檢查自己的「公鑰庫」是否包含送來的公鑰，有的話再驗證數碼簽署，成功的話便直接登入伺服器，無需輸入帳號密碼。

第一步在日常使用的電腦上使用 ssh-keygen 指令建立一對加密鑰匙，它會詢問儲存加密鑰匙的檔案名稱，和把鑰匙加密的密碼，檔案名稱使用預設的路徑和名稱便可以，密碼則無需輸入：

建立帳號的 RSA 加密鑰匙

這個指令會創造兩個檔案，一個名為 id_rsa，是你的 RSA 密鑰，另一個是 id_rsa.pub，是你的 RSA 公鑰。公鑰必需上傳到伺服器並且附加於用戶帳號裏面的 .ssh/authorized_keys 檔案中，這個檔案儲存所有可透過 ssh 登入到這一個帳號的公鑰，一行一條公鑰：

上傳 RSA 公鑰到伺服器

順便一提，目錄 .ssh 和 authorized_keys 除了 owner 之外，其他人均不能有寫入的權限，否則 sshd 不會讀取，換句話說，兩者最寬鬆的權限是 ：

公鑰檔案的存取權限必須正確

使用公鑰驗證法登入 ssh 又省力又安全，因為我們不用輸入密碼，自然也沒有密碼被盜取的憂慮，簡簡單單地輸入連線指令便可以了。

但是存放在日常電腦中的密鑰卻帶來新的安全隱患，萬一密鑰被盜取了，其他人豈不是可以隨便登入伺服器？現在是「雙重驗證」(two-factor authentication) 隆重登場的時候，雙重驗證的理念是我們必須向伺服器證明兩種不同性質的東西，才能成功驗證身分，第一樣是我們知道什麼，第二樣是我們擁有什麼。首先伺服器會要求我們輸入密碼，我們知道密碼，過了第一關。跟著伺服器要求我們證明擁有公鑰驗證法中的密鑰，透過上面的設定程序我們也通過了驗證，過了第二關。現在伺服器才會讓我們進入系統。

設定 ssh 的雙重驗證法很簡單，使用 vim  (或任何文本編輯器) 開啓 /etc/ssh/sshd_config，在檔案的末端假如這一行：
AuthenticationMethods publickey,password

AuthenticationMethods publickey,password

它告訴伺服器用戶必須擁有合法的公鑰，和輸入正確的密碼才能成功登入。修改完成後重新啟動 sshd：
systemctl restart sshd.service

systemctl restart sshd.service

完成後不要登出系統，使用另一個視窗嘗試登入，測試無誤便可進行下一步。
. 更新、更新、每天更新、每天自動更新

每一天都有成千上萬的黑客在世界各地尋找 Linux 系統和常見軟件的安全漏洞，一有發現便會發動規模龐大而迅速的網絡攻擊，務求在我們來得及反應前把系統攻陷。不要以為黑客都只是十來歲的年輕小毛頭，大部分黑客背後都有勢力龐大、資源幾乎無限的國家機構支持，有些甚至屬於這些機構的雇員，美國的 NSA，英國的 GQHC，中國的無名黑客隊伍，都是比較明目張膽由國家支持的網絡黑幫，可見我們的系統時時刻刻都被凶狠之徒盯著，保持軟件在最新的狀態是其中一項我們必須做，也很容易做到的工作。

首先我們立即手動更新所有預先安裝的軟件：
yum -y update

yum -y update

跟著設定系統定時自動更新，第一步確定伺服器是否安裝了自動執行指令的工具，跟著使用 yum 一個名叫 yum-cron 插件。

CentOS  使用數個軟件來自動執行指令：cron、anacron、at 和 batch，其中 cron 和 anacron 用來定期重複執行指令，At 和 batch 則用來在特定時間執行一次性的指令。我們將會使用 cron 和 anacron，兩者的分別這裏不細表了，將來有機會再討論，現在使用以下指令安裝 cron 和 anacron：
yum -y install cronie

yum -y install cronie

下一步就是安裝 yum-cron：
yum -y install yum-cron

yum -y install yum-cron

其實你可以使用一個指令同時安裝 cronie 和 yum-cron，甚至單獨安裝 yum-cron 也可以，因為 yum 會自動檢測到 yum-cron 需要 cronie 然後自動替你安裝，上面分開兩個指令純粹令大家容易明白。

完成後系統多了數個檔案，比較重要的包括：

    /etc/cron.daily/0yum.cron
    Anacron 每天執行這個檔案一次，它根據配置檔案 /etc/yum/yum-cron.conf 來更新軟件
    /etc/yum/yum-cron.conf
    這是每天執行 yum-cron 的配置檔案，預設只會下載更新的軟件，並不安裝，用意是讓管理員檢視 yum-cron 的輸出，選取需要更新的軟件進行手動安裝。

跟著我們修改配置檔案，讓 yum-cron 自動更新軟件，使用 vim  (或任何文本編輯器) 開啓 /etc/yum/yum-cron.conf，尋找：
apply_updates = no

apply_updates = no

修改為：
apply_updates = yes

apply_updates = yes

確認一下 update_messages = yes, download_updates = yes, apply_updates = yes，正如下圖：

yum-cron 配置檔案

最後，啟動 crond 和 yum-cron：
systemctl start crond systemctl start yum-cron

systemctl start crond
systemctl start yum-cron

. 防火牆

防火牆的作用好比網絡警察，它監察所有進出系統的 IP 封包，哪些端口容許封包進入，哪些端口容許封包外出等等，都由防火牆控制，保護使用這些端口的應用程式，所以設定防火牆是極重要的工作。

過濾封包功能的 netfilter 已經內建在 CentOS  的內核，但是配置 netfilter 的界面程式 firewalld 卻未必有安裝，不論是否已經安裝，都可以執行下面的安裝指令：
yum install firewalld

yum install firewalld

跟著查看一下防火牆現在開啟了哪些服務和端口：
firewall-cmd --list-all

firewall-cmd --list-all

檢查防火牆

上圖可見防火牆只開啟了 DHCP 客戶端和 ssh 兩個服務的通訊端口，倘若日後安裝了其他網絡軟件，例如網站伺服器、域名伺服器等等，必須要檢查安裝程式有否開啓他們的通訊端口，沒有的話便要手動開啓。如果好像前面第四點那樣使用了非常規的通訊端口，也可能要手動配置防火牆，防火牆詳細的配置方法超出了本文的討論範圍，將來有機會再談。