服务器配置用户信息 ssh免密码登录和防火墙等安全配置

一、登录服务器

1、回到根目录cd ~

2、ssh + 用户名@服务器公网地址ssh root@47.94.208.76

3、输入密码：注意输入法大小写

二、查看服务器信息

df -h 查看数据盘的文件空间剩余信息

fdisk -l 查看磁盘信息

用户列表文件：/etc/passwd

用户组列表文件：/etc/group

查看系统中有哪些用户：cut -d : -f 1 /etc/passwd

查看可以登录系统的用户：cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1

查看用户操作：w命令(需要root权限)

查看某一用户：w 用户名

查看登录用户：who

查看用户登录历史记录：last

三、登出服务器

contrl + d

四、shell小工具zsh安装

1、安装方法见官网：https://ohmyz.sh/

2、vim .zshrc 打开zsh配置文件

3、在最后一行添加别名：alias login_root="ssh root@47.94.208.76"

4、保存并退出后 source .zshrc 重新加载文件资源

5、在命令行输入login_root 会直接跳到ssh root@47.94.208.76 登录

五、添加和配置新的用户信息

1、useradd system_manager 添加新用户

2、passwd system_manager 设置用户密码

3、groupadd sudo 创键组

4、gpasswd -a system_manager sudo 将用户追加到组

5、sudo visudo 打开配置文件

6、增加system_manager ALL=(ALL) ALL 使用户有和root一样的权限

7、在root用户下重启 systemctl restart sshd

六、登录新用户

1、command+t 新开一个命令行

2、ssh system_manager@47.94.208.76 登录新用户

七、配置ssh实现无密码登录

本地私钥--本地传到服务器的公钥--密钥算法比对--登录成功

1、进入本地根目录，找到.ssh文件夹

cd ~

ls -a

cd .ssh

会看到如下文件，其中id_rsa为私钥，id_rsa.pub为公钥

2、将以上两个文件重命名，如果之前已经生成过私钥和公钥，先把他们备份下来：

mv id_rsa id_rsa_copy

mv id_rsa.pub id_rsa_copy.pub

3、回到根目录cd ~ 配置：

ssh-keygen -t rsa -b 4096 -C "1095098525@" 密码提示一直回车就行

4、回到.ssh文件夹下，看到生成了两个文件，就是私钥和公钥：

5、在.ssh文件夹下，查看私钥和公钥

cat id_rsa

cat id_rsa.pub

6、在.ssh文件夹下，将ssh代理跑起来：

eval "$(ssh-agent -s)"

7、在.ssh文件夹下，将文件加入代理中：

ssh-add ~/.ssh/id_rsa

8、登录服务器，重复在本地电脑生成私钥和公钥的步骤。

9、在服务器的.ssh文件夹下，查看是否存在权限文件（只对当前用户有效）。

10、将本地电脑的公钥（id_rsa.pub）复制到服务器的authorized_keys文件夹里面。

11、在服务器的.ssh文件夹下，赋予权限的操作：chmod 600 authorized_keys

12、在服务器的.ssh文件夹下，重启ssh服务：systemctl restart sshd

13、重新登录root用户，就可以不用输入密码直接登录啦，其他用户同样的方式！

八、增强服务器安全配置

1、用root账号登录，保持登录状态，避免用新的端口登录不成功而导致无法登陆服务器。

在服务器管理后台添加端口

2、command+t 新开一个控制台窗口，用system_manager登录下：

sudo vi /etc/ssh/sshd_config 打开ssh配置文件

3、修改端口：保留22端口 添加port: 8290

4、在最后一行添加：AllowUsers system_manger

5、禁止root账号登录：

将上图PermitRootLogin 改成no

6、重启:

sudo systemctl restart sshd

7、用新的端口登录

ssh -p 8290 system_manager@47.94.208.76

如果报错信息，可在另一个已经登录的账号下将/etc/ssh/sshd_config文件复原，采用默认的22端口，也可以在阿里云管理终端登录修改

配置防火墙部分：

8、由于在Centos7下，默认有firewalld，打开防火墙，发现用此端口登录不上：

systemctl start firewalld

9、查看端口8290是否开启;

firewall-cmd --query-port=8290/tcp 返回no 说明没有开启

10、防火墙永久开启端口：

firewall-cmd --zone=public --add-port=8290/tcp --permanent

命令含义 :--zone #作用域,--add-port=80/tcp #添加端口 , 格式为 : 端口/通讯协议,--permanent #永久生效 , 没有此参数重启后失效

11、重启防火墙：

firewall-cmd --reload

12、关闭端口命令：firewall-cmd --zone=public --remove-port=3306/tcp --permanent

13、查看防火墙状态:systemctl status firewalld

14、开启防火墙开机自启动：systemctl enable firewalld

15、停止开机启动：sytemctl disable firewalld

16、查看防火墙永久开放的端口:firewall-cmd --permanent --list-port

17、查看防火墙配置信息列表：firewall-cmd --list-all

禁用22端口，只允许用新端口登录：

firewall-cmd --query-port=8290/tcp 返回 yes 说明此端口防火墙开通

修改vi /etc/ssh/sshd_config ssh配置文件 将22端口删除

重启ssh：ystemctl restart sshd

用新的端口登录ssh -p 8290 root@47.94.208.76

九、管理终端远程登录：

/document_detail/25433.html?spm=a2c4g.11186623.2.14.f8de7c60SVNZdE

十、ubantu下用iptables建立防火墙

1、清空 iptables 规则： iptables -F

2、vim /etc/iptables.up.rules

*filter#allow all connections-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#mongodb connect

-A INPUT -s 127.0.0.1 -p tcp --destination-port 27017 -m state --state NEW,ESTABLISHED -j ACCEPT

-A OUTPUT -d 127.0.0.1 -p tcp --source-port 27017 -m state --state ESTABLISHED -j ACCEPT

#allow out traffic-A OUTPUT -j ACCEPT#allow http https-A INPUT -p tcp --dport 443 -j ACCEPT-A INPUT -p tcp --dport 80 -j ACCEPT#allow ssh port login-A INPUT -p tcp -m state --state NEW --dport 8290 -j ACCEPT#ping-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT#log dejied calls-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7#drop incoming sensitive connections-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set-A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 150 -j DROP#reject all other inbound-A INPUT -j REJECT-A FORWARD -j REJECTCOMMIT

3、iptables-restore < /etc/iptables.up.rules

4、ufw enable

5、ufw status

6、vi /etc/network/if-up.d/iptables

#!/bin/shiptables-restore /etc/iptables.up.rules

7、chmod +x/etc/network/if-up.d/iptables

8、ubantu用apt-get安装fail2ban

service fail2ban status

service fail2ban stop

service fail2ban start