查看防火墙状态
systemctl status firewalld
查看开放的端口
firewall-cmd --list-ports
查看特定端口是否开放
firewall-cmd --query-port=22/tcp
添加端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
添加富规则禁止访问3306端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="3306" accept"
移除端口
firewall-cmd --zone=public --remove-port=80/tcp --permanent
查看所有区域
firewall-cmd --get-zones
查看激活区域
firewall-cmd --get-active-zones
查看某个区域的详细状态
firewall-cmd --list-all --zone=public
开放网卡
firewall-cmd --zone=public --permanent --add-interface=eth0
查看所有的端口
netstat -anp
移除某个服务
firewall-cmd --zone=public --remove-service=dhcpv6 --permanent
禁用3306端口
firewall-cmd --zone=drop --add-port=3306/tcp --permanent
1,开启防火墙,仅开放使用的端口81
2,修改sshd配置,禁止root登录,修改sshd端口
加固操作一
1,禁用不使用的用户;一般不直接删除,直接在passwd文件中编辑用户,在前面加上#注释掉该用户行即可
2,修改ssh默认端口22
3,登陆超时设置;在“/etc/profile”中添加
export TMOUT=300
readonly TMOUT
4,禁止root直接远程登陆;编辑“/etc/ssh/sshd_config”文件
5,限制登录失败次数并锁定;在“/etc/pam.d/login”文件后添加
auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180
网络安全
1:禁用IPV6;在用不到IPV6时,将其禁用会加快网络。让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,内容如下:
[root@176dems ~]# cat /etc/modprobe.d/ipv6off.conf
alias net-pf-10 off
options ipv6 disabled
1.2:禁用基于IPv6网络,使之不会被触发启动:
[root@176dems ~]# cat /etc/sysconfig/network
# Created by anaconda
NETWORKING_IPV6=no
[root@176dems ~]#
1.3:禁用网卡IPv6设置,使之仅在IPv4模式下运行:
IPV6INIT=no
IPV6_AUTOCONF=no
[root@176dems ~]# cat /etc/sysconfig/network-scripts/ifcfg-eno1
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=no
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=eno1
UUID=71698c5e-8810-3929-8949-b89a61cbeebf
ONBOOT=yes
AUTOCONNECT_PRIORITY=-999
DEVICE=eno1
IPADDR=10.28.54.176
NETMASK=255.255.255.0
GATEWAY=10.28.54.1
DNS1=114.114.114.114
DNS2=8.8.8.8
IPV6_PRIVACY=no
1.4:关闭ip6tables:
[root@176dems ~]# chkconfig ip6tables off
注意:正在将请求转发到“systemctl disable ip6tables.service”。
[root@176dems ~]#
1.5:重启系统,验证是否生效;如果没有任何输入说明禁用成功,否则失败
lsmod | grep ipv6
ifconfig | grep -i inet6
2:防止一般网络攻击
2.1:禁ping
方式一
[root@176dems ~]# sudo firewall-cmd --permanent --add-rich-rule 'rule protocol value="icmp" reject'
success
[root@176dems ~]# sudo firewall-cmd --reload
success
方式二
vim /etc/sysctl.conf
在文件末尾添加
net.ipv4.icmp_echo_ignore_all=1
0为允许ping,1为禁止ping,如果有这一行,则直接修改0或1即可
2.2:防止IP欺骗,编辑“/etc/host.conf”文件并增加如下几行来防止IP欺骗攻击:
[root@176dems ~]# cat /etc/host.conf
order hosts,bind
multi on
nospoof on
2.3 日志检查
/var/log/message 记录系统日志或当前活动日志
/var/log/auth.log 身份认证日志
/var/log/cron cron日志
/var/log/maillog 邮件服务器日志
/var/log/secure 认证日志
/var/log/wtmp 历史登录,注销,启动,停机日志,lastb命令可查看登录失败的用户
/var/run/utmp 当前登录的用户信息日志,w,who命令信息来源
/var/log/yum.log yum日志
查看服务
netstat -lp