centos密鑰登錄

1、新增用戶：
useradd dk
passwd dk
將普通用戶dk加到sudo權限表，這樣dk要權限的時候就sudo +命令：
vi /etc/sudoers

找到root ALL=(ALL) ALL

在下面添加一行：新用戶名 ALL=(ALL) ALL

:x! 保存退出

ssh（密鑰登錄）:
1、ssh密鑰制作:
ssh-keygen -t rsa
回車回車
.將公鑰文件重命名為authorized_keys
$ mv id_rsa.pub authorized_keys
將目錄.ssh權限設置為700，公鑰文件authorized_keys設置為644
$ chmod 700 ../.ssh/
$ chmod 644 authorized_keys
下載id_rsa 私鑰到你本地即可
2、修改sshd默認端口：
#vim /etc/ssh/sshd_config
#port 22 改為
port 2222
#usedns yes 改為
usedns no
#PermitRootLogin yes改為
PermitRootLogin no（最后改這個，禁用root用ssh遠程登錄，禁用密碼登錄）
#permitEmpt passwords yes 改為
permitEmpt passwords no
#PasswordAuthentication yes改為
PasswordAuthentication no
#print last login yes 改為
print last login yes
#printmotd yes 改為
printmotd yes
修改ssh連接警告信息：
#vim /etc/motd

warning！ this is dk'centos！！！
chkconfig sshd on
service sshd restart
3、防火墻 打開 ssh 端口
iptables -F
iptables -X
iptables -I INPUT -p tcp --dport 2222 -j ACCEPT
/etc/init.d/iptables save
/etc/init.d/iptables start
chkconfig iptables on

4、selinux:
#setenforce 0 臨時關閉selinux
#vim /etc/selinux/config
將SELINUX=enforcing改為SELINUX=disabled 永久關閉

ip地址:
#vim
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.1.63
PREFIX=24
GATEWAY=192.168.1.1

DNS1=8.8.8.8
NETMASK=255.255.255.0
修改dns地址：
#etc/resolv.conf
nameserver 114.114.114.114
#service
network restart

fail2ban:
#tar zxvf fail2ban-0.8.10.tar.gz

#cd fail2ban-0.8.10

#python setup.py install

#cd files

cp ./redhat-initd /etc/init.d/fail2ban

#chkconfig --add fail2ban

#service fail2ban start

注意：如果重起iptables 記的一定還要重起fail2ban，不然他就不能生效，fail2ban的過濾表是在iptables 啟動后在加入的。

二、配置

1、fail2ban本身配置

默認fail2ban.conf里面就三個參數，而且都有注釋。

vi /etc/fail2ban/fail2ban.conf

#默認日志的級別

loglevel = 3

#日志的存放路徑

logtarget = /var/log/fail2ban.log

#socket的位置

socket = /tmp/fail2ban.sock

2、fail2ban防護配置

全局設置

vi /etc/fail2ban/jail.conf

忽悠 IP范圍 如果有二組以上用空白做為間隔

ignoreip = 127.0.0.1/24 #黑名單/拒絕鏈接的名單

設定 IP 被封鎖的時間(秒)，如果值為 -1，代表永遠封鎖

bantime = 86400

設定在多少時間內達到 maxretry 的次數就封鎖

findtime = 600

設定在多少時間內達到 maxretry 的次數就封鎖

maxretry = 3

允許嘗試的次數

分類設置

#針對sshd暴力***防護

[ssh-iptables]

enabled = true

filter = sshd

action = iptables[name=SSH, port=2222, protocol=tcp]

sendmail-whois[name=SSH, dest=you@mail.com, sender=fail2ban@mail.com]

logpath = /var/log/secure

如果有個別的次數設定就設在這里

maxretry = 3

#針對vsftpd暴力***防護

[vsftpd-iptables]

enabled = true

filter = vsftpd

action = iptables[name=VSFTPD, port=ftp, protocol=tcp]

sendmail-whois[name=VSFTPD, dest=you@mail.com]

logpath = /var/log/secure

maxretry = 3

#chkconfig --level 345 fail2ban on

#service fail2ban start

測試：

echo "test mail | mail -s test@xuegod.cn"

iptables -L