VPS是暴露在公网中的主机，如果按照默认设置，很容易被一些软件扫描以及攻击，此时需要做一点简单的防御措施（可以杜绝大部分自动扫描登录的攻击）：更改SSH端口、禁止密码登录、使用证书登录等

安全设置步骤

1.更改SSH端口

• 先开放防火墙相关端口，防止等会无法进入就比较麻烦了，开放之后记得保存防火墙设置

  firewall-cmd --zone=public --add-port=6666/tcp --permanen
  firewall-cmd --reload
  

• 修改配置文件：/etc/sshd_config

  • 主要是修改中的port字段，去掉#注释，再更改为你需要的端口

  # SELinux about this change.
  # semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
  Port 6666
  #ListenAddress 0.0.0.0
  #ListenAddress ::
  

• 修改完成以后尝试重启sshd服务

  systemctl restart sshd
  

• 此时保险起见另外起一个ssh会话尝试连接刚刚更改的端口，如果失败记得检查防火墙设置

2.创建一个普通用户并授权

• 添加用户chancel，并设置密码

  adduser chancel
  passwd chancel
  

• 授权用户Chancel允许使用sudo来暂时提权，sudo时根据需求选择是否需要输入密码

  chmod u+w /etc/sudoers
  vim /etc/sudoers
  
  # 授权给用户/用户组sudo权限，但需要输入密码
  youuser ALL=(ALL) ALL 
  %youuser ALL=(ALL) ALL 
  # 授权给用户/用户组sudo权限，无需输入密码
  youuser ALL=(ALL) NOPASSWD: ALL 
  %youuser ALL=(ALL) NOPASSWD: ALL
  
  chmod u-w /etc/sudoers
  

3.使用证书登录

• 使用本地linux系统生成密钥，或使用其他第三方工具生成密钥

  ssh-keygen -t rsa -p 'passwd'
  

• 查看生成完成的公钥

  cat id_rsa.pub
  

• 将公钥拷贝到目标服务器的用户目录下的.ssh目录

  scp .ssh/id_rsa.pub user@ip:/home/chancel/chancel.pub
  

• 登录到用户目录并将公钥追加到authorized_keys中

  cat chancel.pub >> .ssh/authorized_keys
  

4.不允许root登录/密码登录

远程允许root用户登录存在许多风险，最好是使用普通账户进行操作

• 禁止root用户登录/密码登录

  • 打开文件/etc/sshd_config，修改PermitRootLogin和*PasswordAuthentication *的值为NO

  # override default of no subsystems
  Subsystem       sftp    /usr/libexec/openssh/sftp-server
  # Example of overriding settings on a per-user basis
  #Match User anoncvs
  #       X11Forwarding no
  #       AllowTcpForwarding no
  #       PermitTTY no
  #       ForceCommand cvs server
  UseDNS no
  AddressFamily inet
  PermitRootLogin no
  SyslogFacility AUTHPRIV
  PasswordAuthentication no
  

设置效果

以上步骤均完成后，你的服务器应该有如下特征

• 只能通过特定端口访问你的服务器
• 只能使用特定用户进行登录，Root用户无法登录
• 特定用户可短时使用sudo获取提权
• 只能使用证书进行登录，密码登录会被拒绝

如果想进一步加固还有如下可优化

• 更改Mariadb默认端口3306，不允许外界访问Mariadb，只允许SSH通道远程访问Mariadb
• 关闭22端口，避免被尝试登录
• 将常用端口全部更改至10000以上端口并使用nmap扫描10000以下端口查看是否有忘了关闭的端口