SSH 端口修改及FTP的安全设置
工作环境 REDHAT5
默认的 LINUX 的默认SSH 端口是 22。为了防止别人很容易扫描到端口。建议修改SSH 访问端口,可以按下所示修改:
第一步:
[root@abc ~]#vim /etc/ssh/sshd_config
找到#Port 22一段,这里是标识默认使用22端口,修改为如下:
Port 22
Port 5678
#Protocol 2,1
Protocol 2
保存退出
执行/etc/init.d/sshd restart 启动SSH服务,这样SSH端口将同时工作与22和5678上。
PS:新操作的可以先保留22端口,先设置成两个端口,测试成功后再关闭22端口
第二步:(用于打开了iptables的用户),如果未启动的则这步不需要
如果启用的防火墙则需要做下步操作:
现在编辑防火墙配置:vi /etc/sysconfig/iptables 开放 5678端口
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5678 -j ACCEPT
然后执行/etc/init.d/iptables restart
第三步:
使用ssh工具连接5678端口,来测试是否成功。
如果连接成功了,则再次编辑sshd_config的设置,将里边的Port22 就可以。
PS:sshd_config设置改动后需再次执行/etc/init.d/sshd restart 才会生效
redhat5 vsftp安装:
1. 查看是否安装
# rpm -qa | grep vsftpd
2. 全新安装
# rpm -ivh vsftpd*******.rpm (所需版本)
3. 启动/停止/重启
# service vsftpd start
# service vsftpd stop
# service vsftpd restart
建立FTP 用户过程:
1.建立新FTP用户chenghx ,所属目录/home/test运行以下命令
[root@abc ~]# adduser -d /home/test -g ftp -s /sbin/nologin chenghx
2.系统添加一个用户默认有ftp的登陆权限不安全,所以可利用ftp用户策略允许登录ftp的系统用户。
修改配置文件:vim /etc/vsftpd/vsftpd.conf
在userlist_enable=YES文件后面添加
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list
即只有user_list中存在的用户才能登录系统 。
3.利用ftp用户策略 新加入FTP 用户 chenghx 。把chenghx账号加入到 user_list。
运行下面的命令
[root@abc ~]# echo chenghx >> /etc/vsftpd/user_list
4.限制系统用户锁定在家目录
[root@abc ~]# vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES 去掉前面#号
chroot_list_file=/etc/vsftpd/chroot_list 去掉前面的#号 限制更多系统用户
然后把所有用户加入/etc/vsftpd/chroot_list即可
[root@abc ~]# cut -d : -f 1 /etc/passwd>>/etc/vsftpd/chroot_list 把本地用户都加入到chroot_list
5.ftp支持匿名登录是不安全,所以要禁止匿名ftp登录
在/etc/vsftpd/vsftpd.conf修改成anonymous_enable=NO
6.启动FTP服务
工作环境 REDHAT5
默认的 LINUX 的默认SSH 端口是 22。为了防止别人很容易扫描到端口。建议修改SSH 访问端口,可以按下所示修改:
第一步:
[root@abc ~]#vim /etc/ssh/sshd_config
找到#Port 22一段,这里是标识默认使用22端口,修改为如下:
Port 22
Port 5678
#Protocol 2,1
Protocol 2
保存退出
执行/etc/init.d/sshd restart 启动SSH服务,这样SSH端口将同时工作与22和5678上。
PS:新操作的可以先保留22端口,先设置成两个端口,测试成功后再关闭22端口
第二步:(用于打开了iptables的用户),如果未启动的则这步不需要
如果启用的防火墙则需要做下步操作:
现在编辑防火墙配置:vi /etc/sysconfig/iptables 开放 5678端口
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5678 -j ACCEPT
然后执行/etc/init.d/iptables restart
第三步:
使用ssh工具连接5678端口,来测试是否成功。
如果连接成功了,则再次编辑sshd_config的设置,将里边的Port22 就可以。
PS:sshd_config设置改动后需再次执行/etc/init.d/sshd restart 才会生效
redhat5 vsftp安装:
1. 查看是否安装
# rpm -qa | grep vsftpd
2. 全新安装
# rpm -ivh vsftpd*******.rpm (所需版本)
3. 启动/停止/重启
# service vsftpd start
# service vsftpd stop
# service vsftpd restart
建立FTP 用户过程:
1.建立新FTP用户chenghx ,所属目录/home/test运行以下命令
[root@abc ~]# adduser -d /home/test -g ftp -s /sbin/nologin chenghx
2.系统添加一个用户默认有ftp的登陆权限不安全,所以可利用ftp用户策略允许登录ftp的系统用户。
修改配置文件:vim /etc/vsftpd/vsftpd.conf
在userlist_enable=YES文件后面添加
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list
即只有user_list中存在的用户才能登录系统 。
3.利用ftp用户策略 新加入FTP 用户 chenghx 。把chenghx账号加入到 user_list。
运行下面的命令
[root@abc ~]# echo chenghx >> /etc/vsftpd/user_list
4.限制系统用户锁定在家目录
[root@abc ~]# vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES 去掉前面#号
chroot_list_file=/etc/vsftpd/chroot_list 去掉前面的#号 限制更多系统用户
然后把所有用户加入/etc/vsftpd/chroot_list即可
[root@abc ~]# cut -d : -f 1 /etc/passwd>>/etc/vsftpd/chroot_list 把本地用户都加入到chroot_list
5.ftp支持匿名登录是不安全,所以要禁止匿名ftp登录
在/etc/vsftpd/vsftpd.conf修改成anonymous_enable=NO
6.启动FTP服务
端口修改配置:
目标:默认端口为21,为了系统安全,需将21端口修改为2021.
步骤:1.修改/etc/services文件(默认分配的端口号和协议类型)
# vi /etc/services
将21/tcp修改为2021/tcp
2.修改(新增)FTP配置文件vsftpd.conf
# vi /etc/vsftpd/vsftpd.conf
如果文件中有Listen_port=21,则将21修改为2021,
否则添加一行Listen_port=2021
3.启动TFP服务
# service vsftpd restart
4.检查TFP服务
# service vsftpd status
或
# netstat -npl
