服务器安全(安骑士)是云盾推出的一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动,实时感知和防御入侵事件,保障服务器的安全。
近期使用阿里云安骑士企业版安全巡检报出登录配置存在异常风险的问题:
| 配置项 | 当前值 | 期望值 | 安全建议 |
|---|---|---|---|
| port | 该项不存在 | 设置为非22 | 建议将ssh默认端口改为9999之后的非默认端口,防止黑客的恶意扫描 |
| permitrootlogin | yes | 设置为no | 尽量不使用root用户远程登录,普通用户可以通过su或sudo获得root级别的访问权 |
解决方案:
1.修改阿里云服务器远程端口
修改配置文件:/etc/ssh/sshd_config,找到#port 22;将其修改为9999以后的端口(我们以22555端口为例)。
vim /etc/ssh/sshd_config
修改完毕后在防火墙中开放22555端口
vim /etc/sysconfig/iptables在防火墙规则内,添加规则:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22555 -j ACCEPT ##开放22555端口
重启防火墙及SSH服务:
service iptables restart
service sshd restart当验证22555端口可以正常远程后,在/etc/ssh/sshd_config内删除Port 22这一行;然后重启SSH服务。
2.新增普通用户,然后禁止root账户远程登陆。
创建新用户(这里以用户名:57aliyun为例)
useradd 57aliyun ##创建用户57aliyun
passwd 57aliyun ##为用户57aliyun设置密码修改/etc/sudoers文件,找到下面一行,在root下面添加一行,如下所示:
vim /etc/sudoers
root ALL=(ALL) ALL
57aliyun ALL=(ALL) ALL
修改配置文件:/etc/ssh/sshd_config,找到#permitrootlogin yes,将其设置为:permitrootlogin no。
vim /etc/ssh/sshd_config
重启SSH服务
service sshd restart
3.重新巡检,完美解决!
