centos服务器安全技巧

系统管理员都应该烂熟于心的：
务必保证系统是 最新的
经常更换密码 - 使用数字、字母和非字母的符号组合
给予用户 最小 的权限，满足他们日常使用所需即可
只安装那些真正需要的软件包

1. 更改默认的SSH端口，先打开sshd_config文件：
    vim /etc/ssh/sshd_config
    找到下面这行：
    #Port 22
    “#”号表示这行是注释。首先删除#号，然后把端口号改成目的端口。端口号不能超过        65535，确保要指定的端口号没有被系统或其它服务占用。建议在[维基百科]上查看常用端口号列表。在本文中，使用这个端口号：
    Port 16543

2. 使用SSH密钥认证
在通过SSH访问服务器时，使用SSH密钥进行认证是尤其重要的。这样做为服务器增加了额外的保护，确保只有那些拥有密钥的人才能访问服务器。
在本地机器上运行下面命令以生成SSH密钥：
ssh-keygen -t rsa
你会看到下面的输出，询问要将密钥写到哪一个文件里，并且设置一个密码：
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): my_key
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in my_key.
Your public key has been saved in my_key.pub.
The key fingerprint is:
SHA256:MqD/pzzTRsCjZb6mpfjyrr5v1pJLBcgprR5tjNoI20A
完成之后，就得到两个文件：
my_key
my_key.pub

接下来把my_key.pub拷贝到~/.ssh/authorized_key中
cp my_key.pub ~/.ssh/authorized_keys
然后使用下面命令将密钥上传到服务器：
scp -P16543 authorized_keys user@yourserver-ip:/home/user/.ssh/

3. 关闭SSH的密码认证
有了SSH密钥，关闭SSH的密码认证就会更安全。编辑sshd_config，按如下设置：

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
关闭Root登录
下一步关闭root用户的直接访问，使用sudo或su来执行管理员任务。先需要添加一个有root权限的新用户，编辑这个路径下的sudoers文件：
/etc/sudoers/
visudo 这样的命令编辑该文件，会在关闭文件之前检查任何可能出现的语法错误。当你在编辑文件时出错了，很有用。
接下来赋予某个用户root权限，使用用户 admin。确保在编辑后这个文件时使用的用户是系统已有的用户。找到下面这行：
root ALL=(ALL) ALL
拷贝这行，粘贴，然后把root更改为“admin”，如下所示：
root ALL=(ALL) ALL
admin ALL=(ALL) ALL
解释一下这行的每一个选项的含义：
(1) root  (2)ALL=(3)(ALL) (4)ALL

(1) 指定用户
(2) 指定用户使用sudo的终端
(3) 指定用户可以担任的用户角色
(4) 这个用户可以使用的命令
（LCTT 译注：所以上面的配置是意思是：root 用户可以在任何终端担任任何用户，执行任何命令。）
使用这个配置可以给用户访问一些系统工具的权限。
关闭通过SSH直接访问root，编辑sshd_config ，找到下面这行：
#PermitRootLogin yes
更改为：
PermitRootLogin no
然后保存文件，重启sshd守护进程使改动生效。执行下面命令即可：

sudo /etc/init.d/sshd restart
systemctl list-unit-files --type=service | grep enabled  查看跟随系统系统的服务 
systemctl disable servicename  关闭不需要的服务