安装CentOS 7后必做的安全加固
&刚装好的CentOS 7系统存在很大风险，需要立刻进行安全加固。
1. 用root账号通过SSH登录服务器
通常使用SSH远程登录服务器进行日常维护。在windows系统下可以用PuTTY软件，Linux和MAC系统内置SSH客户端功能直接在终端（terminal）输入相关指令。
SSH首次登录服务器，会提示是否接受该服务器的加密公钥，请选择&是&（yes）。
2. 修改root账号的密码（可选）
如果root的密码是安装时自动生成无法确认安全，则必须立刻修改root密码。指令如下：
passwd root
系统会提示输入新的密码，需要输入两次相同的新密码。
服务器上所有账号的密码都要采用毫无关联的强密码，密码为不少于16位的大小写字母数字特殊符号的组合。推荐采用专门的密码管理软件，比如KeePass。
3. 新增一个普通账号并设定密码
该账号主要用于SSH登录服务器进行管理，root账号通常禁止远程SSH登录。指令如下：
useradd ifshow
ifshow就是普通账号的名称，根据实际情况来取名。随后给该账号设定密码：
passwd ifshow
4. 修改SSH配置文件（改默认端口、禁止root账号登录、指定允许登录账号）
用vi文本编辑器修改SSH配置文件，指令如下：
vi&/etc/ssh/sshd_config
打开配置文件后，查找
2345是更改后的端口号，可以是 1024 ～ 65535 之间的任意数字，不要和系统其他服务端口冲突即可。
＃PermitRootLogin yes
PermitRootLogin no
AllowUsers ifshow
第一行是禁止root账号通过SSH登录；第二行是指定允许通过SSH登录的账号ifshow，可以输入多个账号用空格隔开。
然后检查配置文件中，以下字段是否设置为no，字段最前面有#的删除#
PermitEmptyPasswords no
X11Forwarding no
再检查配置文件中，以下字段设置，字段最前面有#的删除#
Protocol 2
MaxAuthTries 3
MaxSessions 2
修改完成，保存配置文件退出编辑器。重启SSH服务，使得配置文件生效。
systemctl restart sshd.service
为防止失误，保持当前窗口连接，新建SSH连接2345端口测试ifshow能否登录系统。
用ifshow账号登录系统后执行su指令切换到root账号，系统会提示输入root账号的密码；
或者在命令前加上sudo空格，可临时以root权限执行，系统会提示输入root账号的密码。
本文后续内容均需root权限执行，下文不重复说明。
对安全有更高要求的还可以使用&。
4. 启用firewalld防火墙
CentOS 7默认采用firewalld防火墙，firewalld的使用说明请点&&。
因为更改过SSH默认端口，所以先修改firewall中SSH服务配置文件。执行如下指令：
cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
vi /etc/firewalld/services/ssh.xml
&port protocol=&tcp& port=&22&/&
&port protocol=&tcp& port=&2345&/&
启动firewalld并设为开机自启，执行如下指令：
systemctl start firewalld.service
systemctl enable firewalld.service
在fierwalld中开放ssh服务端口：
firewall-cmd --permanent --add-service=ssh
firewall-cmd --reload
为防止失误，保持当前窗口连接，新建SSH连接2345端口测试ifshow能否登录系统。
5.&让系统自动更新
查询当前系统版本
cat /etc/*release*
安装EPEL源（可选）
yum -y install epel-release.noarch
手动进行系统更新，安装所需软件cron和yum-cron，执行如下指令：
yum -y update
yum -y install cronie
yum -y install yum-cron
修改yum-cron配置文件
vi /etc/yum/yum-cron.conf
apply_updates = no
apply_updates = yes
再检查配置文件中，以下字段是否设置为yes
update_messages = yes
download_updates = yes
apply_updates = yes
修改完成，保存配置文件退出编辑器。启动cron和yum-cron并设为开机自启。
systemctl start crond.service
systemctl enable crond.service
systemctl start yum-cron.service
systemctl enable yum-cron.service
6. 开启SELinux（可选）
编辑SELinux配置文件
vi /etc/selinux/config
修改SELINUX的值（enforcing为开启，disabled为关闭）
SELINUX=enforcing
注意：别错误修改SELINUXTYPE的值为disabled，误改会导致系统无法启动。
7. 必做的安全加固已经完成，还可以安装fail2ban防止暴力破解密码
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】RHEL 7 / CentOS 7 : Disable Firewalld and use iptables - 推酷
RHEL 7 / CentOS 7 : Disable Firewalld and use iptables
Just installed CentOS 7 on my Virtual machine and realized that, Firewalld is bit complicated as I am using iptables firewall from many years. So decided not to use firewalld at least as of now and wanted to continue with iptables commands as I was using in RHEL / CentOS 5 and 6.
I thought iptables will not be there and I will have to deal with firewalld but a little small trick in RHEL7 takes me to the solution which I wanted and I found that I can still use the iptables by disabling firewalld service.
So, If you are in same condition as mine and you want to use iptables on CentOS / RHEL 7 instead of firewalld, Please follow this howto.
As we all know that, CentOS / RHEL 7 both are completely systemd based, So We will have to use few systemd related commands to disable firewalld and enable iptables service.
1. Disable Firewalld Service.
[root@rhel-centos7-tejas-barot-linux ~]# systemctl mask firewalld
2. Stop Firewalld Service.
[root@rhel-centos7-tejas-barot-linux ~]# systemctl stop firewalld
3. Install iptables service related packages.
[root@rhel-centos7-tejas-barot-linux ~]# yum -y install iptables-services
4. Make sure service starts at boot:
[root@rhel-centos7-tejas-barot-linux ~]# systemctl enable iptables
# If you do not want ip6tables, You can skip following command.
[root@rhel-centos7-tejas-barot-linux ~]# systemctl enable ip6tables
5. Now, Finally Let’s start the iptables services.
[root@rhel-centos7-tejas-barot-linux ~]# systemctl start iptables
# If you do not want ip6tables, You can skip following command.
[root@rhel-centos7-tejas-barot-linux ~]# systemctl start ip6tables
Firewalld Service is now disabled and stop, You can use iptables.
Now, You will be able to use iptables as your firewall, You can add / remove rules as you were doing in previous releases of Red Hat / CentOS 5 and 6, You can configure firewall with iptables in same manner as previous.
Enjoy Linux
Enjoy Firewall
Enjoy iptables
Enjoy ip6tables
Enjoy FirewallD
Enjoy CentOS 7
Enjoy RHEL 7
Enjoy Open Source
Please Keep in Touch with Social Networking :-&
Facebook :-
Facebook Page :-
Twitter :-
LinkedIn :-&
Google+ :-
已发表评论数()
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
标题不准确
排版有问题
没有分页内容
图片无法显示
视频无法显示
与原文不一致在中国大陆封闭的互联网环境下，VPN这东西是必不可少的
免费VPN很多，可是，既不稳定又不安全，速度还慢，如果你有一台海外的VPS或服务器
自己搭建一个VPN是最好的选择
下面介绍Centos 7搭建VPN（PPTP）服务器方法
注意：本教程只适用于Centos 7
检查是否支持
若你使用XEN架构的VPS，下面的步骤不用执行
检测PPP是否开启：
cat /dev/ppp
cat /dev/ppp
开启成功的标志：cat: /dev/ppp: No such file or directory 或者 cat: /dev/ppp: No such device or address，可以继续
运行下面的命令安装iptables、ppp、pptpd
在这之前，请您先更新yum源，以防错误：
yum install ppp iptables pptpd
yum install ppp iptables pptpd
运行完成后，应该顺利安装完成了需要的组件
1、编辑pptpd.conf：
vi /etc/pptpd.conf
vi /etc/pptpd.conf
2、搜索localip，去掉下面字段前面的#，然后保存退出
localip 192.168.0.1
remoteip 192.168.0.234-238,192.168.0.245
localip 192.168.0.1remoteip 192.168.0.234-238,192.168.0.245
3、编辑options.pptpd
vi /etc/ppp/options.pptpd
vi /etc/ppp/options.pptpd
4、搜索ms-dns，去掉搜索到的两行ms-dns前面的#，并修改为下面的字段
ms-dns 8.8.8.8
ms-dns 8.8.4.4
ms-dns 8.8.8.8ms-dns 8.8.4.4
5、接下来编辑/etc/ppp/chap-secrets设置VPN的帐号密码
vi /etc/ppp/chap-secrets
vi /etc/ppp/chap-secrets
6、添加一行，按照下面的格式写入你的用户名和密码
用户名 pptpd 密码 *
用户名 pptpd 密码 *
注意：上面的用户名和密码都区分大小写
7、接下来修改内核参数，运行下面的命令编辑sysctl.conf
vi /etc/sysctl.conf
vi /etc/sysctl.conf
8、在conf末尾添加下面的代码，使内核支持转发
net.ipv4.ip_forward=1
net.ipv4.ip_forward=1
9、运行下面的命令使内核修改生效
10、添加下面的iptables转发规则（直接在SSH运行下面命令即可）
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
OpenVZ架构：
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source VPS公网IP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source VPS公网IP
11、但是添加转发规则后重启就会失效，Centos 6系统可以使用service iptables save保存配置，但Centos 7不支持，我们需要将配置写入rc.local文件中，开机自动设置，运行下面的命令赋予rc.loacl执行权限：
chmod +x /etc/rc.d/rc.local
chmod +x /etc/rc.d/rc.local
12、编辑rc.local，并把上面的转发规则写到文件末尾
vi /etc/rc.d/rc.local
vi /etc/rc.d/rc.local
13、保存退出
1、用下面的命令启动pptpd
/etc/init.d/pptpd start
/etc/init.d/pptpd start
2、用下面的命令使pptpd开机自动启动
chkconfig pptpd on
chkconfig pptpd on
3、现在就可以使用你的设备连接到你的VPN了，若配置正确，就可以正常连接并上网了
1、619错误
1、请检查上面的配置是否全部正常执行完毕
2、运行下面的命令尝试修复
rm /dev/ppp
mknod /dev/ppp c 108 0
rm /dev/pppmknod /dev/ppp c 108 0
3、若还是不行，运行下面的命令编辑pptpd.conf，并找到logwtmp，前面加#注释掉，再重启服务
vi /etc/pptpd.conf
vi /etc/pptpd.conf
4、请检查你的路由器是否支持PPTP穿透，请尝试连接公用VPN测试，或更换路由器测试，或直接连接宽带测试，若确实是路由器不支持PPTP穿透，可以尝试搭建L2TP VPN
5、检查用户名密码是否有误
6、请向服务提供商询问是否支持搭建VPN
2、800错误
1、请检查服务器上的PPTPD是否正常启动，运行下面的命令检查pptp端口和进程
ps -ef |grep pptpd
ps -ef |grep pptpd
netstat -nutap | grep pptpd
netstat -nutap | grep pptpd
2、请检查计算机能不能正常连接到服务器，可以尝试ping服务器
3、请检查iptables是否拦截了PPTPD端口，可以尝试用下面的命令打开端口
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
若发现有效，记得将它加入rc.local文件中
4、检查上面的配置是否都执行完毕
3、错误651
1、运行下面的命令编辑pptpd.conf，并找到logwtmp，前面加#注释掉，再重启服务
vi /etc/pptpd.conf
vi /etc/pptpd.conf
2、检查用户名和密码是否正确
3、检查上面的配置是否都执行完毕
若上面的错误排除都无法排除您的错误，可能是服务商限制VPN，请向服务商询问！
公告栏SCKA博客尝试全站启用HTTPS，若存在问题，请大家积极反馈生日倒计时
Copyright &centos7关防火墙的命令行_百度知道
centos7关防火墙的命令行
CentOS是Linux发行版之一，刚开始接触的朋友可能都还不知道centos关闭防火墙方法是什么吧?接下来本文就将为大家介绍使用命令行关闭centos防火墙的方法。　　我们可以使用以下命令：　　#/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT　　#/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT　　#/etc/rc.d/init.d/iptables save　　重启计算机后，防火墙默认已经开放了80和22两个端口。　　临时性的完全关闭防火墙，可以不重启机器：　　#/etc/init.d/iptables status ##查看防火墙状态　　#/etc/init.d/iptable stop ##本次关闭防火墙　　#/etc/init.d/iptable restart ##重启防火墙　　永久性关闭防火墙：　　#chkconfig --level 35 iptables off (注意中间的是两个英式小短线;重启)　　设置防火墙开放端口的方法如下：　　vi /etc/sysconfig/iptables　　修改防火墙时注意最好留下VNC和SSH的管理端口。　　下面是一个iptables的示例：　　# Firewall configuration written by system-config-securitylevel　　# Manual customization of this file is not recommended.*filter　　:INPUT ACCEPT [0:0]　　:FORWARD ACCEPT [0:0]　　:OUTPUT ACCEPT [0:0]　　:RH-Firewall-1-INPUT - [0:0]　　-A INPUT -j RH-Firewall-1-INPUT　　-A FORWARD -j RH-Firewall-1-INPUT　　-A RH-Firewall-1-INPUT -i lo -j ACCEPT　　-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT　　-A RH-Firewall-1-INPUT -p 50 -j ACCEPT　　-A RH-Firewall-1-INPUT -p 51 -j ACCEPT　　-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT　　-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 53 -j ACCEPT　　-A RH-Firewall-1-INPUT -m state –state NEW -m udp -p udp –dport 53 -j ACCEPT　　-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT　　-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 25 -j ACCEPT　　-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT　　-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 443 -j ACCEPT　　-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited　　COMMIT　　要根据自己需求情况来修改这个文件，举例来说，如果你不希望开放80端口提供web服务，那么应该相应的删除这一行：　　-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT　　全部修改完之后重启iptables:　　service iptables restart　　你可以验证一下是否规则都已经生效：iptables -L　　这样，我们就完成了CentOS防火墙的设置修改。
其他类似问题
为您推荐：
关闭方法为更改&#47systemctl stop firewall，可以设置访问规则来允许提供的服务，因为selinux是集成在内核中的，可以通过systemctl命令控制。firewall到不必关闭，然后重启系统.servicecentos 7默认的防火墙使用config文件;selinux/etc&#47。另外centos 7的selinux也会阻止许多访问，系统服务管理方式也变更了，可以通过firewall-cmd命令来设置访问规则，设置selinux=disabled
防火墙的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁Linux（1）
本文是对解决该问题所使用命令的大致总结（不确定那些有用，因为昨晚搞到12点多还是Hardware Disabled,但今天早上开机后发现恢复了，，满满的黑科技，，）
//主要参考（其实算就参考了这一个）
rfkill list
0: phy0: Wireless LAN
Soft blocked: no
Hard blocked: yes
rfkill unblock all
rfkill unblock wifi
cat /sys/class/rfkill/rfkill0/hard
echo 0 & /sys/class/rfkill/rfkill0/hard
rfkill list
cat /sys/class/rfkill/rfkill0/state
本文目的：为了记录自己解决该问题的经历，以便下次作参考。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：3600次
排名：千里之外
原创：28篇
(4)(3)(2)(1)(8)(9)(2)(3)(4)