澳门新浦京娱乐场网站-www.146.net-新浦京娱乐场官网
做最好的网站

澳门新浦京娱乐场网站总结Centos7系统加固知识点

最近在慕客网网上看了一个建站的教程,简单记录一下!怕自己过了明天就忘了。。

关键字:

IP地址: Ipv4        2*32       Ipv6

LNMP指的是一个基于CentOS/Debian 上安装Nginx、PHP、MySQL、php。可以在独立主机上轻松的安装LNMP生产环境。

注意:此教程的云服务器以centos7以上为例,云服务器于阿里云购买

  关于如何浏览网站的这个过程没啥好说的,百度搜一艘,点个链接就过去了,实际上这个过程是一个浏览器与服务器交互的过程:

centos6.5  jdk1.7.0 tomcat7.0.70 mysql5.6 nginx

 

1 安装nginx

其他服务商的云服务器配置大同小异

  1。点击的过程实际有一个域名:比如百度域名www.baidu.com,

下载jdk1.7源码包

在百度搜索jdk 找到www.oracle.com域名的链接。

打开后找到Java SE->Downloads->Java Archive->Java SE 7->Java SE Development Kit 7u79选择Accept License Agreement

下载你想要的版本,可以直接用wget下载到服务器(在另一台服务器上用wget下载时出现了错误,本地可以用浏览器下载于是可以用scp命令上传到服务器。

scp jdk-7u79.tar.gz root@xxx.xxx.xxx.xxx:/root/

scp命令具体用法可以看我之前的文章。)

我当时的链接

澳门新浦京娱乐场网站 1

tcp      网络通讯协议

如果是一台新的服务器可直接安装(若以前安装过apacha和php需要卸载 命令 #yum remove http* php* )

建议:linux的服务器不建议安装图形化工具,因为占内存,占带宽,占资源,弊远大于利

  2。然后会有一个DNS服务器,指向对应的服务器地址,

下载tomcat7.0.70

去tomcat官网下载tomcat7.0.70,下载位置链接,当时我的下载地址。

澳门新浦京娱乐场网站 2

在服务器执行命令:

wget

-

澳门新浦京娱乐场网站 3

udp    用户数据报协议

安装命令 

手动更新系统:

  3。进行第一次握手,http的会话,

解压缩下载的源码包

tar -zxvf jdk-7u79.tar.gz

tar -zxvf apache-tomcat-7.0.70.tar.gz

 

yum -y install nginx

yum -y update

  4。建立文档树,加载资源文件,渲染页面。

移动位置

mv apache-tomcat-7.0.70 /usr/local/tomcat7

mv jdk1.7.0_79 /usr/local/jdk1.7.0_79

常见网络端口:

启动命令

防火墙配置:

  因此我们准备建站前,需要必备:

添加环境变量

vim /etc/profile

20  21      ftp服务           文件共享

/etc/init.d/nginx start

service firewalld start //启动防火墙
systemctl enable firewalld.service //开机自启

  1。linux服务器

在porfile文件最后追加三行

export JAVA_HOME=/usr/local/jdk1.7.0_79

export CLASSPATH=.:%JAVA_HOME%/lib/dt.jar:%JAVA_HOME%/lib/tools.jar

export PATH=$PATH:$JAVA_HOME/bin

澳门新浦京娱乐场网站 4

22      ssh服务           安全远程网络管理

刚刚买了服务器,测试发现无法启动报错 ,解决办法将default.conf 后缀改掉,这是一个虚拟主机的配置,,后面我们会详细介绍。

selinux配置:

  2。Nginx的web服务器

使环境变量生效

source /etc/profile

澳门新浦京娱乐场网站 5

可见环境变量增加了jdk的位置

23    telnet服务

 

vim /etc/selinux/config

  3。属于自己的独立域名

查看java版本

java -version

澳门新浦京娱乐场网站 6

版本号:1.7.0_79

25     smtp:简单邮件传输协议   发信

cd /etc/nginx/conf.d
mv default.conf default.conf.back

修改:

服务器的选择类型有两种:Linux服务器和Window服务器

查看当前已开启的端口

netstat -ntlp

澳门新浦京娱乐场网站 7

110     pop3:邮局协议       收信

 

SELINUX=enforcing //设置强制模式
reboot //重启生效

  购买服务器可以选择aliyun服务器,新手如我可能也只知道这个!!Anyway。

进入tomcat bin文件夹

cd /usr/local/tomcat7/bin

80     www 网页服务

设置系统启动自动开启

ssh配置:(防暴力破解)

澳门新浦京娱乐场网站 8

临时关闭防火墙

service iptables stop

(centos7) systemctl stop nginx

澳门新浦京娱乐场网站 9

3306    mysql端口

chkconfig --level 345 nginx on

useradd normal //创建一个系统用户,设置只能通过这个用户远程登录系统
vim /etc/ssh/sshd_config

根据自己的情况,选择合适的吧!!反正我只是随便玩玩的,也就随便选选,不得不吐草一下,这个东西价格差距这么大,太贵了,对我这中雕丝来说真的!!!

执行tomcat启动脚本

./startup.sh

澳门新浦京娱乐场网站 10

在本地浏览器打开你的服务器的ip地址:8080,如果是本地则打localhost:8080/127.0.0.1:8080

澳门新浦京娱乐场网站 11

出现上述的网页则表示tomcat安装成功。

再次执行查看端口命令:

netstat -ntlp

此时开启的端口为:

澳门新浦京娱乐场网站 12

在刚才,我们临时关闭了防火墙(iptbales)。为了安全起见,我们至少应当开启iptables,设置一条iptabes的规则,允许8080端口访问。

53     DNS端口

 安装nginx之后,我们要搭建一个虚拟主机,方便外网访问。一台云服务器可以创建多个虚拟主机。运行多个网站。我们可以为不同的域名绑定不同的目录,访问这个域名的时候,会打开对应目录里面的东西。先进入到 nginx 配置文件目录:

修改:

澳门新浦京娱乐场网站 13

先查看iptables当前规则:

iptables -nvL

澳门新浦京娱乐场网站 14

由此可知,当前没有规则。

 

cd /etc/nginx/conf.d

Port 2000 //端口必须大于1024
Protocol 2 //没有的话就添加,有就不用
PermitEmptyPasswords no //禁止空密码登录
X11Forwarding no //禁止端口转发
PermitRootLogin no //禁止root用户登录
MaxAuthTries 3 //允许三次尝试
LoginGraceTime 20 //在20秒内不能完成登录,则断开连接
AllowUsers normal //添加,只允许这个用户远程登录

 

执行如下两条命令,第一条是添加规则。第二条是把当前规则保存到文件,使得下次重启iptables会记住规则。

/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

/etc/rc.d/init.d/iptables save

(centos7)firewall-cmd --permanent --add-port=8080/tcp

(centos7)firewall-cmd --permanent --query-port=8080/tcp

/etc/services       所有系统常见端口

新建一个以.conf结尾的配置文件名字最好以你的配置的域名为名称例如 www.baidu.com.conf,下面是一个虚拟主机配置,一般情况下只需要改动域名和代码位置,域名需要在域名管理平台解析,

保存退出,重启ssh

选择镜像和存储,镜像选择linux吧,一般也没有太多人选择Windows,从众心理,相信群众的眼睛是雪亮的!!

再查看防火墙规则:

iptables -nvL

澳门新浦京娱乐场网站 15

可见已经把8080添加进规则。

 

代码本人习惯放在根目录/home/ 下

service sshd restart

存储也是,越大越好,可以考虑数据系统盘分离。对,越大越好,只要有钱!!

把tomcat写成服务

vim /etc/init.d/tomcat

之后可以通过如下命令来控制tomcat服务器开关:

chmod 700 /etc/init.d/tomcat

service tomcat start|stop|restart

把我另一篇文章中的tomcat启动脚本粘贴进去,并修改对应路径即可。

端口数量  tcp   65535     udp   65535

server {
    listen          80;
    server_name     www.baidu.com;
    root            /home/baidu;
    charset         utf-8;
    #access_log     /var/log/nginx/log/host.access.log  main;

    location / {
        index  index.html index.htm index.php;
    try_files $uri $uri/ /index.php?$query_string;
    }
    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ .php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    location ~ .php$ {
    #    root           html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;

        client_max_body_size    5000m;  
    }

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    #
    #location ~ /.ht {
    #    deny  all;
    #}
}

防火墙开启ssh端口

澳门新浦京娱乐场网站 16

使用mysql官方yum仓库下载mysql5.6(任意指定社区版本MySQL Community Edition)

mysql官网

wget

rpm -ivh mysql57-community-release-el6-8.noarch.rpm

澳门新浦京娱乐场网站 17

 

 

firewall-cmd --zone=public --add-port=2000/tcp --permanent
firewall-cmd --reload

设置安全组:

按照官方教程的几个命令:

yum repolist all | grep mysql

vim /etc/yum.repos.d/mysql-community.repo

 网关:(Gateway)网间连接器、协议转换器

 重启 nginx 或者重新加载 nginx 可以让配置文件生效。

selinux开启ssh端口

澳门新浦京娱乐场网站 18

设置为安装mysql5.6默认为5.7:

把[mysql57-community]的enabled改为0

把[mysql56-community]的enabled改为1

澳门新浦京娱乐场网站 19

yum repolist enabled | grep mysql

yum install mysql-community-server -y

澳门新浦京娱乐场网站 20

 

service nginx reload
或者
service nginx restart

yum -y install policycoreutils-python //安装selinux端口管理工具
semanage port -a -t ssh_port_t -p tcp 2000 //添加端口
semanage port -l |grep ssh //查看selinux开启的ssh端口
service sshd restart

设置登陆的root密码,大概也差不多了!然后就付钱呗!

重启服务器:

init 6

DNS: Domain  Name  System

 

防止IP SPOOF攻击

澳门新浦京娱乐场网站 21

设置开机自启动:

chkconfig --add tomcat

chkconfig tomcat on

chkconfig --list |grep tomcat

chkconfig --list |grep iptables

chkconfig --list |grep mysql

澳门新浦京娱乐场网站 22

只有iptables没有开机启动,

 

 到根目录/home下,创建代码目录,目录名称必须跟虚拟主机配置项目录名称一致。

vim /etc/host.conf

 

添加iptables开机启动:

chkconfig --level 345 iptables on

chkconfig --list |grep iptables

(centos7)systemctl enable nginx.service

澳门新浦京娱乐场网站 23

域名   --> IP 正向解析

cd /home
mkdir baidu
vim baidu/1.html

末尾添加

2。如何连接服务器,这边linux用户直接ssh就可以了,win下可以下载Gitbash连接

重启服务器:

init 6

在服务器查看iptables状态,并查看当前已开启的端口。

通过浏览器访问ip地址:8080,如果能够成功访问

则说明已经搭建成功

澳门新浦京娱乐场网站 24

部署nginx服务器,并且代理内部8080端口

IP  -->    域名 反向解析

 

nospoof on

连接命令,不必多说:

首先使用yum安装nginx:

yum install nginx -y

 

随便写点什么保存。本人懒推荐****************;现在,打开浏览器,输入你为虚拟主机设置的域名,看看是否能打开你指定的目录里的东西。

禁止被ping

ssh user@remote_ip  (拿虚拟机做的测试) 

修改nginx配置文件:

vim /etc/nginx/conf.d/default.conf

重点添加红色矩形内的两个配置选项(不要落下分号!)。

澳门新浦京娱乐场网站 25

阿里云是默认开启80端口的。所以不用设置iptables,如果需要,则可以按照前文提到的方法添加iptabels 80端口的规则。

 北京网通:202.106.0.20   广州电信:202.96.128.143   114DNS:114.114.114.114

2 安装php

vim /etc/sysctl.conf

澳门新浦京娱乐场网站 26

启动nginx服务:

service nginx start

 

根据项目需求安装php版本。php7.0性能高。

有则修改,无则添加

3。Web服务器的安装

现在在浏览器中输入域名,即可直接返回tomcat的欢迎界面!


如果这篇文章对你有帮助,不妨小额赞助我一下,让我有动力继续写出高质量的教程!

澳门新浦京娱乐场网站 27

 

1.检查当前安装的PHP包

net.ipv4.icmp_echo_ignore_all=0

主流就是Apache和nginx,这里选择nginx吧!可以查看一下nginx是否已经安装:

网络配置 

yum list installed | grep php

保存配置

  nginx -v

一 IP地址配置

 

sysctl -p

未安装需要安装一下,直接用yum安装更加方便。

1 setup (图形命令设置) 永久IP

如果有安装的PHP包,先删除他们

防火墙禁止被ping

  yum install epel-release

#vim /etc/sysconfig/network-scripts/ifcfg-eth0

yum remove php.x86_64 php-cli.x86_64 php-common.x86_64 php-gd.x86_64 php-ldap.x86_64 php-mbstring.x86_64 php-mcrypt.x86_64 php-mysql.x86_64 php-pdo.x86_64

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
firewall-cmd --reload

  yum install nginx

ONBOOT=yes

 

注意:也可以在阿里云控制台的安全组规则,删除允许ICMP协议的规则

澳门新浦京娱乐场网站 28

#service  network restart 

2.配置yum源,根据服务器系统版本选择

每十多天更新一次系统,删除没有用到的软件,清除yum缓存

4。配置网站更目录文件

2 ifconfig  eth0  ip  netmask  掩码 临时生效

Centos 5.X

crontab -e

  查看nginx配置文件的地址:

 #ifconfig  eth0  192.168.172.251   临时IP

rpm -Uvh http://mirror.webtatic.com/yum/el5/latest.rpm

以下内容按需修改

    nginx -t 

 

 

0 0 */10 * * yum update -y
0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all

澳门新浦京娱乐场网站 29

3 网卡配置文件

​CentOs 6.x

防火墙禁止端口扫描(centos7无效,端口还是被扫描出来了,不知道centos7以下是否生效)

  打开配置文件/etc/nginx/nginx.conf,设置user 和 http>server>location的相关配置:

1)/etc/sysconfig/network-scripts/ifcfg-eth0   网卡信息文件

rpm -Uvh http://mirror.webtatic.com/yum/el6/latest.rpm

iptables -F #清除防火墙策略
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop

  vim /etc/nginx/nginx.conf

DEVICE=eth0                  网卡设备名

 

卸载阿里云的云盾(安骑士),因为服务器本来就内存紧张,云盾弊大于利,卸载

  1. 修改user root ;

BOOTPROTO=none               是否自动获取IP。none:不生效 static:手动 dhcp:动态获取IP

​CentOs 7.X

wget
chmod x uninstall.sh
./uninstall.sh
wget
chmod x quartz_uninstall.sh
./quartz_uninstall.sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

  2. 修改root的路径:这里我改成/web目录;

BROADCAST=192.168.140.255         广播地址        wall

rpm -Uvh https://mirror.webtatic.com/yum/el7/epel-release.rpm
​rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

注意:卸载完成后,可以删除以上两个脚本文件。如果无法wget到文件,请联系站长索要!

  3. 添加默认主页;

HWADDR=00:0c:29:21:80:48         mac地址

 

屏蔽云盾IP,云盾会定期扫描服务器模拟黑客攻击

澳门新浦京娱乐场网站 30

IPADDR=192.168.140.253           IP地址

 

vim shield_ip.sh

澳门新浦京娱乐场网站 31

IPV6INIT=yes                    IPv6开启

 

添加如下内容:

 

IPV6_AUTOCONF=yes             IPv6获取

3.运行安装php yum install

#!/bin/bash
echo "开始屏蔽云盾扫描云服务器的IP"
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.0/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.16/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.192/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.184/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.183/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.206/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.195/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.204/32" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.0/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.192/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.128/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.192/26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.223.0/26" drop'
firewall-cmd --reload

5.上传服务器。选择合适的终端或gimbash,用scp上传

NETMASK=255.255.255.0           掩码

安装php5.5

保存退出

 scp -r local_dir user@ip:/remote_dir

NETWORK=192.168.140.0           网段

yum install php55w.x86_64 php55w-cli.x86_64 php55w-common.x86_64 php55w-gd.x86_64 php55w-ldap.x86_64 php55w-mbstring.x86_64 php55w-mcrypt.x86_64 php55w-mysql.x86_64 php55w-pdo.x86_64​

chmod x shield_ip.sh
./shield_ip.sh

如果不起作用的话,也有可能服务器没有安装ssh服务,百度一下安装一下吧,openssh-client啥的

ONBOOT=yes                    网卡开机启动

 

注意:这些IP地址段来源于阿里云官方给的云盾服务器IP,来源:()

澳门新浦京娱乐场网站 32

TYPE=Ethernet                 以太网

安装php5.6

编码设置:

这边查看一下服务器情况:

GATEWAY=192.168.140.1           网关

yum install php56w.x86_64 php56w-cli.x86_64 php56w-common.x86_64 php56w-gd.x86_64 php56w-ldap.x86_64 php56w-mbstring.x86_64 php56w-mcrypt.x86_64 php56w-mysql.x86_64 php56w-pdo.x86_64

vim /etc/locale.conf

    nginx        启用nginx服务器

 

 

删除原有,添加如下内容:

    ps -ef|grep nginx  查看nginx进程

2)/etc/sysconfig/network  主机名配置文件 永久生效,但是要重启网卡

安装php7.0

LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提示

reboot //重启生效

    nginx -t      查看配置情况

hostname  

yum install php70w.x86_64 php70w-cli.x86_64 php70w-common.x86_64 php70w-gd.x86_64 php70w-ldap.x86_64 php70w-mbstring.x86_64 php70w-mcrypt.x86_64 php70w-mysql.x86_64 php70w-pdo.x86_64

进入阿里云控制台,云服务器ECS–>安全组–>配置规则–>添加安全组规则

    nginx -s stop    停止

HOSTNAME=localhost.localdomain 临时修改主机名

 

安全组添加ssh端口,否则外网是无法进入的,包括ftp和apache的端口不在安全组开放的话

    nginx -s reload   重启

hostname 查看主机名

4.安装PHP FPM​

下载xshell远程登录软件,normal用户远程登录至linux系统,xshell的使用不再赘述,登录成功后

6。域名购买配置

#vim /etc/sysconfig/network   永久修改

yum install php55w-fpm 
yum install php56w-fpm 
yum install php70w-fpm

su - root //提权

  买域名找万网吧,啥都有。有钱就能办事

HOSTNAME=lampbrother

如果你想在系统启动时自动运行php-fpm,输入下列命令:

注意:在阿里云控制台远程连接登录系统后,不能以任何用户一直处于登录状态,使用系统完后,必须退出用户登录,界面保持在需要输入用户名的界面

澳门新浦京娱乐场网站 33  

 

# chkconfig --level 345 php-fpm on

如:在阿里云控制台登录(而不是xshell登录),退出用户登录命令

然后配置

3)/etc/resolv.conf DNS配置文件

第一次启动php-fpm,输入下列命令:

logout //exit也可以

  进入阿里云>域名与网站>云解析DNS,解析设置>添加记录就可以了

#vim /etc/resolv.conf
nameserver 8.8.8.8

# /etc/init.d/php-fpm restart

注意:root用户的话必须退出两次才可以

    澳门新浦京娱乐场网站 34

二 网络命令

现在,我们已经安装了 php-fpm,并修改了 nginx 的配置文件让它可以去执行 php,下面,我们得去测试一下,可以使用 php 的 phpinfo(); 函数,方法是在你的虚拟主机根目录下面,创建一个 php 文件,命名为 phpinfo.php,然后在这个文件里输入:

最后:在阿里云控制台–>安全(云盾)–>态势感知–>开启态势感知服务–>设置邮箱或短信提醒

  基本上就是这么个操作,具体的根据情况选吧,写的很清楚的

 

<?php phpinfo(); ?>

    澳门新浦京娱乐场网站 35

1 ifconfig 查看网卡信息

 

配置完的话基本就完成了,至于域名要备案这个小事,个人觉得挺烦的,但是没办法啊!!

 ifup  eth0

保存并退出,php默认的使用者是apache,需要改为nginx

另外的话,刚刚配置后出现了问题:无法打开网站,后来发现是80端口没有打开。

ifdown  eth0 快速开启和关闭网卡 

vim /etc/php-fpm.d/www.conf

这边我用的是centos7,CentOS 7 默认没有使用iptables,所以通过编辑iptables的配置文件来开启80端口是不可以的

3 route 查看路由(设置网关)

 

CentOS 7 采用了 firewalld 防火墙

route  add   default  gw  192.168.140.1 手工设定(添加)网关,临时生效

将39行 41行的 apache改为nginx 

  查询是否开启80端口:

route  del   default  gw  192.168.190.6 删除网关

38 ; RPM: apache Choosed to be able to access some dir as httpd
39 user = apache
40 ; RPM: Keep a group allowed to write in log dir.
41 group = apache
改为
38 ; RPM: apache Choosed to be able to access some dir as httpd
39 user = nginx
40 ; RPM: Keep a group allowed to write in log dir.
41 group = nginx

    firewall-cmd --query-port=80/tcp

4 netstat   查看网络状态的命令

 重启nginx

  开启80端口:

#netstat  -an  查看网络状态

service nginx restart

    firewall-cmd --add-port=80/tcp

#netstat  -tlun   (t tcp   u udp   l listen)查看tcp和udp协议监听端口

 浏览器打开刚刚的文件,显示php信息

好了,写完啦!!希望明天还能看得懂。。。

 #netstat -rn 查看路由 default:默认路由(网关)

 

  

 netstat -an | grep ESTABLISHED | wc -l 统计正在连接的网络连接数量

3 安装mysql

5 ping  ip 探测网络通畅

安装 mysql
mysql 可以管理网站用到的数据库,WordPress 和 Drupal 也都支持 mysql 数据库。所以我们的 Web 运行环境里,需要安装一个 mysql 。直接使用 yum 命令去安装 mysql :

#ping -c 5 -s 1000 192.168.172.250 -s 数据包大小
ICMP协议 测试网络连通协议

yum install mysql-server

6 traceroute  ip或域名                探测/跟踪网络数据包的传输路径

 

#traceroute  192.168.172.200   

安装完成后,使用 service 命令启动 mysql 服务:

 

service mysqld start

VSFTP服务器搭建 

 

一 文件服务器简介

然后我们需要简单配置一下 mysql ,默认安装以后 mysql 的 root 用户是没有密码的,对于生产环境来说,这肯定是不行的,另外还有一些安全相关的设置,可以使用下面这行命令去配置一下,它是一个向导,问你一些问题,你要给出答案,比如是否要设置 root 用户的密码, 密码是什么等等。

ftp:在内网和公网使用。 服务器:windows,linux 客户端:windows,linux

mysql_secure_installation

 服务器搭建:

 

 1 ftp软件

 

linux: wu-ftp     早期,不太安全

Enter current password for root (enter for none):
解释:输入当前 root 用户密码,默认为空,直接回车。
Set root password? [Y/n] y
解释:要设置 root 密码吗?输入 y 表示愿意。
Remove anonymous users? [Y/n] y
解释:要移除掉匿名用户吗?输入 y 表示愿意。
Disallow root login remotely? [Y/n] y
解释:不想让 root 远程登陆吗?输入 y 表示愿意。
Remove test database and access to it? [Y/n] y
解释:要去掉 test 数据库吗?输入 y 表示愿意。
Reload privilege tables now? [Y/n] y
解释:想要重新加载权限吗?输入 y 表示愿意。

proftp 增强ftp工具

 

vsftp 安全,强大   软件 ISO 镜像文件

CentOS下开启mysql远程连接, 当服务器没有运行php、没装phpmyadmin的时候,远程管理mysql就显得有必要了。

windows IIS  windows下网页搭建服务,可以搭建ftp服务

远程管理数据库方式有两种

Serv-U 专用ftp服务器

1 普通链接通过3306端口链接
mysql -u root -p
在mysql控制台执行:

2 原理

grant all privileges on *.* to 'root'@'%' identified by '123456' with grant option;

开启  21   命令传输端口   tcp协议

# root是用户名,%代表任意主机,'root'指定的登录密码(这个和本地的root密码可以设置不同的,互不影响)

20 数据传输端口

flush privileges;# 重载系统权限
exit;

 

*****允许3306端口****

3 ftp的用户

iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT

1)ftp允许登录用户  系统用户   密码:系统密码

# 查看规则是否生效

上传位置:/home/家目录

iptables -L -n # 或者: service iptables status

2)匿名用户 anonymous/ftp

# 此时生产环境是不安全的,远程管理之后应该关闭端口,删除之前添加的规则
iptables -D INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
PS,上面iptables添加/删除规则都是临时的,如果需要重启后也生效,需要保存修改:

主机名:IP   用户名: 空 密码:空  或者  邮箱地址      端口:21               

service iptables save # 或者: /etc/init.d/iptables save

上传位置:/var/ftp/

另外,
vi /etc/sysconfig/iptables # 加上下面这行规则也是可以的
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT

 

2 通过ssh等通道连接

二 安装

我使用的是navicae工具

 

澳门新浦京娱乐场网站 36

#mount /dev/sr0 /mnt/cdrom
#cd /mnt/cdrom/Packages/

澳门新浦京娱乐场网站 37

 

在这里填上服务器远程链接信息

rpm  -ivh  vsftpd...........  或  yum  install  vsftpd  -y

澳门新浦京娱乐场网站 38

三  相关文件

在这里填上服务器上的数据库密码就可以了。

/etc/vsftpd/vsftpd.conf 配置文件

服务器远程连接工具推荐xshell,sftp,写代码推荐phpstorm;大神们喜欢用vi直接在服务器上写代码,但是我还是喜欢这些工具, 工具是人类进步的阶梯嘛!

/etc/vsftpd/ftpusers 用户访问控制文件  写入此文件的用户都不能访问ftp服务器

/etc/vsftpd/chroot_list 需要手工建立 定义是否把用户限制在家目录 

四 配置文件配置      修改配置文件后 需要重启服务 

/etc/vsftpd/vsftpd.conf

  85 ftpd_banner=Welcome to 172 PHP blah FTP service.

1 主机相关配置

listen_port=21 监听端口

connect_from_port_20=YES 数据传输端口

ftpd_banner= 欢迎信息

 

    关闭防火墙 #setup
    关闭selinux #vim /etc/selinux/config
    SELINUX=disabled
    #reboot

 

    #service vsftpd start 启动服务
    #netstat -tlun
    #netstat -an | grep :21 查看端口

 

2 匿名用户登录 在linux下识别为  ftp  用户

anonymous_enable=YES 允许匿名用户登录

 

测试:1 windows 窗口
  匿名用户登录 ftp://192.168.172.251

      /var/ftp/pub
      系统用户登录 ftp://huluwa@192.168.172.251

 2 第三方工具  FileZilla

 

3 本地用户

 

1)修改配置文件
#vim /etc/vsftpd/vsftpd.conf

96 chroot_local_澳门新浦京娱乐场网站总结Centos7系统加固知识点,网络配置与FTP服务笔记。user=YES
97 chroot_list_enable=YES
99 chroot_list_file=/etc/vsftpd/chroot_list

2)手动建立/etc/vsftpd/chroot_list
#vim /etc/vsftpd/chroot_list
daliwa

澳门新浦京娱乐场网站总结Centos7系统加固知识点,网络配置与FTP服务笔记。 

local_enable=YES 允许系统用户登录

write_enable=YES 允许上传

local_umask=022 默认上传权限

local_max_rate=300 上传限速

4 限制用户访问目录

chroot_local_user=YES 只有此句,所有用户限制在家目录下

chroot_local_user=YES 如有三句话,只有文件chroot_list中的用户可以访问任何目录,其他用户限制在家目录

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

                 useradd  zhangsan

                 passwd   zhangsan     

五 ftp客户端使用   selinux  firewall 关闭       

 重启服务  service vsftpd restart

测试 FileZilla huluwa 登录
daliwa 登录 对比

主要文件:
/etc/vsftpd/vsftpd.conf 配置文件
/etc/vsftpd/chroot_list 允许访问文件
/etc/vsftpd/ftpusers 禁止用户访问文件 root 禁止登录 安全

 

1、 使用命令登录

ftp  ip

get  文件名 下载

put  文件名 上传 不能上传和下载目录  

             help

2、 使用windows窗口

ftp://用户名@IP

3、 使用第三方工具登录

       FileZilla   

ssh安全登录 22端口

一 联机加密工具

非对称钥匙对加密 

安装 默认安装 openssh  端口 22

启动 默认开机自启动 service  sshd  restart

配置文件 /etc/ssh/sshd_config

二 ssh远程安全联机

ssh   用户名@ip

 

连接方法
windows -> linux xshell $ssh root@192.168.172.251

 

linux -> linux #ssh root@192.168.172.212

 

三 scp 网络复制,网络文件传输    linux->linux

1 下载

scp   用户名@ip:路径   本地路径

scp  root@192.168.140.93:/root/abc  /root

scp  -r  root@192.168.140.93:/root/11  /root 下载目录

 

#scp root@192.168.172.212:/root/httpd-2.2.29.tar.gz /root/ 下载文件
#scp -r root@192.168.172.212:/root/mulu/ /root/ 下载目录

 

2 上传

scp  本地文件或目录  用户名@ip:路径

scp  -r  /root/11  root@192.168.140.93:/root 上传目录

 

#scp t.log root@192.168.172.212:/root/ 上传文件
#scp -r /etc/ root@192.168.172.212:/root/ 上传目录

 

本文由澳门新浦京娱乐场网站发布于澳门新浦京娱乐场网站,转载请注明出处:澳门新浦京娱乐场网站总结Centos7系统加固知识点