避免服务器成为肉鸡的应对措施

如果是iptables防火墙，执行下面命令添加规则

iptables配置文件位置/etc/sysconfig/iptables 

• 添加1000端口规则

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1000 -j ACCEPT 

• 保存规则

service iptables save 

• 重启服务

service iptables restart 

如果防火墙是Firewall，参照下面步骤：

• 首先检测防火墙是否已经启用，启用返回值runing，反之，为not running

firewall-cmd --state 

• 若没有启用，需要启用

systemctl start firewalld 
systemctl enable firewalld 

• 若已经启用，则进行下一步
• 查看防火墙的默认、活跃区域(zones)
• 看两条命令的返回值是否含有public，有则为正确。

firewall-cmd --get-default-zone 
firewall-cmd --get-active-zones 

• 端口永久开放
• 为了防止出错，22端口一同开放
• 与临时开放的区别在于多了permanent

firewall-cmd --permanent --zone=public --add-port=22/tcp 
firewall-cmd --permanent --zone=public --add-port=1000/tcp 

• 防火墙重载

firewall-cmd --reload 

• 查看已暴露端口

firewall-cmd --permanent --list-port 
firewall-cmd --zone=public --list-all 

4. 尝试新端口登陆

尝试用1000端口进行登陆，看是否成功!

5. 关闭原先的22端口

参考上面的操作，首先在ssh的配置文件去掉22端口，重启sshd服务，然后在防火墙配置里面去除22端口，重启防火墙!这里不再赘述。

6. 修改弱口令为强口令

输入修改密码命令

passwd 

此时系统提示

Changing password for user root. 
New password: 

输入两次密码并回车，注意输入密码时不会显示的

Retype new password:  
passwd: all authentication tokens updated successfully. 

7. 推荐：

shell随机密码生成函数：

生成随机密码 ($1 位数)

# echo $(getRandomPwd 10) 
# echo $(getRandomPwd) 
getRandomPwd(){ 
 num=32 
 if [ $# == 1 ];then 
 num=$1 
 fi 
 echo "$(date +%s)$(shuf -i 10000-65536 -n 1)" | sha256sum | base64 | head -c $num ; echo 
} 

8. 扩展

虽然上面修改端口和口令能够大大提升安全性，但是在某些情况下不能修改端口或口令，此时可以推荐 DenyHosts或者fail2ban，它可以禁止大量尝试登陆的IP。或者可以用最简单的办法，查看尝试恶意登陆的前十个IP然后用防火墙禁止它，这里只提供思路。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!