Bảo mật server CentOS
TIL
720
White

Nghiêm Tiến Viễn viết ngày 06/04/2018

Đây là kinh nghiệm của mình gần đây, khi server bị hack và mình vất vả chống đỡ. Bài ghi lại cách cấu hình server CentOS cho bảo mật hơn.

Cấu hình hệ thống

  • Đổi cổng SSH

nano /etc/ssh/sshd_config

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 2244
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

Mặc định server linux sẽ chạy ssh ở cổng 22. Việc đổi sang cổng khác sẽ làm khó những hệ thống đoán password đầy rẫy khắp internet. Bạn nên đặt port cao lên để hạn chế bị scan port. Sau khi sửa file trên và lưu lại, bạn mở port này trên firewall
firewall-cmd --permanent --zone=public --add-port=2244/tcp
firewall-cmd --reload
systemctl restart sshd.service

  • Hạn chế IP kết nối đến hệ thống

nano /etc/hosts.allow

sshd: 10.1.2.3

nano /etc/hosts.deny

sshd: All

  • Cấm 1 IP kết nối đến

firewall-cmd --permanent --zone=drop --add-source=123.456.7.8
firewall-cmd --reload
firewall-cmd --permanent --zone=drop --list-sources

  • Mở cổng kết nối

firewall-cmd --add-port 80/tcp --permanent
firewall-cmd --reload

  • Tự động gửi email thông báo khi có người login

nano ~/.bashrc
Thêm vào cuối

echo 'ALERT - Root Shell Access (GoStream) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" email@gmail.com

  • Những lệnh thường dùng

who - Xem ai đang login
last - Xem lịch sử login
cat ~/.ssh/authorized_keys - Xem những keys được quyền login hệ thống
firewall-cmd --zone=public --list-ports - Xem danh sách cổng đang mở
cat /etc/sudoers - Xem nhóm nào được sudo lên root
cat /etc/group - Xem user nào thuộc nhóm nào

Cấu hình MySQL

  • Mỗi db tạo 1 user riêng, cấp quyền hạn chế
  • Không cho kết nối MySQL remote từ xa, nên kết nối qua tunnel SSH
  • Cài đặt backup tự động

NghiemTienVien 06-04-2018

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Nghiêm Tiến Viễn

3 bài viết.
8 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
6 3
Livestream đã và đang là chuyện hằng ngày hằng giờ trên các mạng xã hội. Những bài viết livestream được ưu tiên hiển thị nhiều hơn so với những bài...
Nghiêm Tiến Viễn viết hơn 2 năm trước
6 3
White
3 0
Sau 1 thời gian làm ReactJS cho website gostream.co thì nhu cầu tất yếu tiếp theo là làm app. Mặc dù GoStream đã có app cả ios và android nhưng app...
Nghiêm Tiến Viễn viết 6 tháng trước
3 0
Bài viết liên quan
White
0 4
fCC: Technical Documentation Page note So I have finished the HTML part of this exercise and I want to come here to lament about the lengthy HTML ...
HungHayHo viết 1 năm trước
0 4
White
2 0
I used Spring boot, Hibernate few times back then at University, I'v started using it again recently. In this (Link), I want to check how Spring J...
Rey viết 7 tháng trước
2 0
White
22 1
Toán tử XOR có tính chất: + A XOR A = 0 + 0 XOR A = A Với tính chất này, có thể cài đặt bài toán sau với độ phức tạp O(N) về runtime, và với O(1)...
kiennt viết gần 3 năm trước
22 1
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
3 bài viết.
8 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!