背景：某客户从老兵IDC上面购买了一台服务器用来学习使用，搭建完环境与安装过mysql等日常需要的软件后就没在关注了，一是足够日常调试使用，二是对这台云服务不够重视。于是，悲剧发生了，周一再次调试一个小项目时mysql居然报错了，上去看了下数据库被攻破了，数据和表已经全部被清空…基于此次决定写一篇对云服务器做一次简单的安全加固的文章供客户们学习使用。

ps：以下均以一台新开的老兵服务器为例。

1. 禁用root用户远程登陆，采用 ‘su’ 命令方式登陆。

2. 编写脚本，将恶意攻击服务器的IP加入黑名单中。

3. 安装防火墙，指定开放端口&IP

4. mysql 更改用户名&常用端口。

一、禁用root用户远程登陆，采用 “su” 命令方式登陆。

1.使用root用户登录云服务，创建新用户。（一定要先创建用户再禁用root用户远程登陆）,保存好账户密码。

useradduser_name#创建新用户的用户名passwdpwd#创建新用户的用户密码12

2.修改root密码，将root密码修改为难度高以上

passwd#执行命令够输入新密码1

建议用户密码设置包含大小写，特殊符号等，位数30位以上。如：hsauFGyhyue737482zsdnjKszryhwp 暴力破解需要好几年才有可能。

3.测试创建的用户是否能够登陆，如果能登陆执行下一步，如何不能登录使用root账户修改新创建的用户账户密码。

4.禁用root登陆

vim/etc/ssh/sshd_config#修改PermitRootLogin后面的yes为no,并且去掉前面的注释符，同时可以限制失败次数1

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 3
#MaxSessions 10

5.重启sshd服务

systemctlrestartsshd.service1

6.退出重新使用root账户验证是否被禁用

二、编写脚本设置IP黑名单

1.创建脚本文件

vim/usr/local/bin/secure_ssh.sh1

2.添加脚本内容

#!/bin/bashcat/var/log/secure|awk'/Failed/{print$(NF-3)}'|sort|uniq-c|awk'{print$2"="$1;}'>/usr/local/bin/black.listforiin`cat/usr/local/bin/black.list`doIP=`echo$i|awk-F='{print$1}'`NUM=`echo$i|awk-F='{print$2}'`if(($NUM>5));thengrep$IP/etc/hosts.deny>/dev/nullif[$?-gt0];thenecho"sshd:$IP:deny">>/etc/hosts.denyfifidone12345678910111213

3.添加定时任务

crontab-e1

在结尾处添加内容

*/1****sh/usr/local/bin/secure_ssh.sh1

4.脚本内容为累计超过五次恶意登陆&攻击的IP将会被加入黑名单。

5.查看黑名单

cat/use/local/bin/black.list#已经在黑名单里面的IPcat/etc/hosts.deny1234

三、安装防火墙，指定开放端口

1.关闭firewall

systemctlstopfirewalld.service;systemctldisablefirewalld.service;systemctlmaskfirewalld.service;123

2.安装iptables安装防火墙

yum-yinstalliptables-services1

3.设置防火墙开机自动启动

systemctlenableiptables;systemctlstartiptables;12

4.重启防火墙使配置生效

systemctlrestartiptables.service1

5.配置黑白名单端口

#修改配置文件vim/etc/sysconfig/iptables12

添加如下内容

*filter:INPUTACCEPT[0:0]:FORWARDACCEPT[0:0]:OUTPUTACCEPT[0:0]-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT-AINPUT-picmp-jACCEPT-AINPUT-ilo-jACCEPT-AINPUT-ptcp-mstate--stateNEW-mtcp--dport22-jACCEPT-AINPUT-mstate--stateNEW-mtcp-ptcp--dport要放开的端口-jACCEPT-AINPUT-jREJECT--reject-withicmp-host-prohibited-AFORWARD-jREJECT--reject-withicmp-host-prohibitedCOMMIT123456789101112

#重启生效systemctlrestartiptables.service　　systemctlenableiptables.service123

四、mysql更改端口配置

1.关闭mysql默认3306 能够阻挡大部分恶意注入，自定义端口号范围通常是 1024-65535 之间。

#修改配置文件vim/etc/my.cnf#在[mysqld]下面增加新的端口配置port=设置的端口号12345

2.修改默认root账号

高版本mysql 8：
ALTER USER ‘账户’@’%’ IDENTIFIED WITH mysql_native_password BY ‘密码’;
flush privileges; #权限刷新
update user set user =‘账户’ where user =‘root’; # 修改账户
flush privileges; #权限刷新

• mysql5.7以下

#登陆mysqlmysql-uroot-p#输入root密码#使用mysql库usemysql;#查看已有所有用户selectuserfrommysql.user;#更改user表中指定用户的密码updateusersetpassword=password('密码')whereuser='root'andhost='localhost';#权限刷新flushprivileges;#更改用户名updateusersetuser=’新的用户名’whereuser=’root’;#权限刷新flushprivileges;12345678910111213141516171819

3.重启mysql

servicemysqldrestart1

4.验证登陆

以上就是本次服务加固的全部内容了，还有些步骤可以再优化，比如远程登陆禁用ssh账号密码登陆，使用密钥对方式登陆。mysql建议安装高版本5.7以上的，安全方面做了优化，使用起来更加安全，如果没有外部访问的需求可以安装mysql8 ，禁用远程登陆连，mysql更加安全。