状态: 已弃用
本文介绍了不再受支持的 CentOS 版本。 如果您目前正在运行运行 CentOS 6 的服务器,我们强烈建议您升级或迁移到受支持的 CentOS 版本。
原因: CentOS 6 已于 2020 年 11 月 30 日结束生命周期 (EOL) and no longer receives security patches or updates. For this reason, this guide is no longer maintained.
请参阅:
本指南可能仍可用作参考,但可能不适用于其他 CentOS 版本。 如果可用,我们强烈建议使用为您使用的 CentOS 版本编写的指南。
基础
当您第一次开始访问新的虚拟专用服务器时,您应该采取一些早期步骤以使其更安全。 一些首要任务可能包括设置新用户、为他们提供适当的权限以及配置 SSH。
第一步——根登录
知道 IP 地址和 root 密码后,以主用户 root 身份登录。
不鼓励定期使用 root 用户,本教程将帮助您设置替代用户以永久登录。
ssh root@123.45.67.890
终端将显示:
The authenticity of host '69.55.55.20 (69.55.55.20)' can't be established. ECDSA key fingerprint is 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0. Are you sure you want to continue connecting (yes/no)?
继续输入yes,然后输入您的root密码。
第二步 - 更改您的密码
目前,您的 root 密码是您注册 Droplet 时发送给您的默认密码。 首先要做的是将其更改为您的选择之一。
passwd
CentOS 对其允许的密码非常谨慎。 输入密码后,您可能会看到“密码错误”通知。 您可以设置一个更复杂的密码或忽略该消息 - CentOS 实际上不会阻止您创建一个简短或简单的密码,尽管它会建议不要这样做。
第三步——创建一个新用户
登录并更改密码后,您无需再次以 root 身份登录您的 VPS。 在这一步中,我们将创建一个新用户,使用新密码,并赋予他们所有的 root 权限。
首先,创建您的用户; 您可以为您的用户选择任何名称。 这里我推荐了Demo
/usr/sbin/adduser demo
二、新建用户密码:
passwd demo
第四步——根权限
到目前为止,只有 root 拥有所有的管理功能。 我们将赋予新用户 root 权限。
当您使用新用户执行任何根任务时,您需要在命令前使用短语“sudo”。 这是一个有用的命令,原因有两个:1) 它可以防止用户犯任何破坏系统的错误 2) 它将所有使用 sudo 运行的命令存储到文件“/var/log/secure”中,如果需要,可以稍后查看.
让我们继续编辑 sudo 配置。 这可以通过默认编辑器完成,在 CentOS 中称为“vi”
/usr/sbin/visudo
找到称为用户权限规范的部分。
它看起来像这样:
# User privilege specification root ALL=(ALL) ALL
在 root 权限的详细信息下,添加以下行,将所有权限授予您的新用户。
要开始输入 vi,请按“a”。
demo ALL=(ALL) ALL
按 Escape、:、w、q,然后按 Enter 保存并退出文件。
第五步——配置 SSH(可选)
现在是时候让服务器更安全了。 这些步骤是可选的。 它们将使登录更加困难,从而使服务器更加安全。
打开配置文件
sudo vi /etc/ssh/sshd_config
查找以下部分并在适用的情况下更改信息:
Port 25000 Protocol 2 PermitRootLogin no UseDNS no
我们将一一进行。
端口:虽然端口 22 是默认值,但您可以将其更改为 1025 到 65535 之间的任何数字。 在本例中,我使用端口 25000。 确保记下新的端口号。 将来您将需要它来登录,而此更改将使未经授权的人更难登录。
PermitRootLogin:将此项从 yes 更改为 no 以停止将来的 root 登录。 您现在只能以新用户身份登录。
将此行添加到文档底部,将 demo 替换为您的用户名:
AllowUsers demo
保存并退出
第六步——重新加载并完成!
重新加载 SSH,它将实现新的端口和设置。
service sshd reload
要测试新设置(不要注销 root),打开一个新的终端窗口并以新用户身份登录到您的虚拟服务器。
不要忘记包含新的端口号。
ssh -p 25000 demo@123.45.67.890
您的提示现在应该说:
[demo@yourname ~]$
看更多
当您开始使用 SSH 保护您的 droplet 时,您可以通过安装程序(例如 Fail2Ban 或 Deny Hosts)来继续提高其安全性,以防止对服务器的暴力攻击。
