服务器安全至关重要,在对服务器安全进行配置的时候,我们一定要遵循最小化原则,什么是最小化原则呢?就是用户权限最小化,软件安装最小化,开放端口最小化等等,把被入侵的风险降低到最小程度。
本文先介绍一下防火墙的基本配置。
以CentOS8为例,我们先修改远程端口,将默认22端口修改为23456
[root@localhost ~]#vi /etc/ssh/sshd_config
加上要修改的端口
Port=23456
#要注意的是,建议先将22端口前的注释去掉,在修改后的端口能连接后,再去禁用默认端口。
开放所需端口。遵循最小原则,如例机,只开放了远程23456端口和WEB 80 443端口(https)。
[root@localhost ~]#firewall-cmd --zone=public --add-port=23456/tcp --permanent #开放23456端口 success [root@localhost ~]#firewall-cmd --zone=public --add-port=443/tcp --permanent #开放443端口 success [root@localhost ~]#firewall-cmd --zone=public --add-port=80/tcp --permanent #开放80端口 success [root@localhost ~]#firewall-cmd --zone=public --remove-port=22/tcp --permanent #关闭22端口 [root@localhost ~]#firewall-cmd --reload # 配置立即生效
再重启一下防火墙,或是整机重启一下后,检查一下端口开放的状态
[root@localhost ~]#systemctl restart firewalld.service # 重启防火墙 [root@localhost ~]#firewall-cmd --list-ports # 检查开放的端口 23456/tcp 80/tcp 443/tcp
防火墙就设置完成了,如果有其它端口需要开放,重复以上的操作将端口放行即可。
