2. 线上服务器网络安全配置与系统登陆安全配置

2. 线上服务器网络安全配置与系统登陆安全配置

关闭selinux

iptables配置

iptables -P INPUT ACCEPT
iptables -F

iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -s 1.1.1.1 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 2.2.2.2 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED.ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP

iptables -P INPUT DROP
iptalbes -P OUTPUT ACCEPT
iptables -P FORWARD DROP

查看

iptables -Ln

sudo设定

Default  env_reset 表示重置（就是去除）用户定义的环境变量，

即当你用sudo执行一个命令的时候，你当前用户设置的所有环境变量都是无效的

比如说，你的home目录下面有一个bin文件夹，这个文件夹里面有一些可执行文件，你把这个文件夹加到Path环境变量里。正常情况下，你可以在任何地方直接执行这个文件夹里面的命令。但是你用sodu执行这个文件夹里面的命令时，shell会提醒你"command not found". 那是因为当你用sudo执行一个命令时，你当前用户设置的path环境变量已经失效了。

<username> <host list>=(<user list>:<group list>) <command list>

tom  ALL=(ALL:ALL) ALL

tom 用户名
第一个ALL，表示"From ALL hosts"，tom从任何机器登录，都可以应用接下来的规则
第二个ALL，表示“run as All user”，tom可以以任何用户的身份运行一些命令
第三个ALL，表示“run as All groups”，tom可以以任何用户组的身份运行一些命令
第四个ALL，表示可以执行任何命令

第二个和第三个ALL可省略，默认为root用户，也就是说，可以这样写：
zouchuang ALL= ALL，表示zouchuang可以从任何host登录，然后以root身份运行任何命令。

%admin ALL=(All) ALL
表示这是用户组的权限，以%开头，admin是用户组的名字，接下来的几个ALL表示的含义跟前面所述的一样，其中第二个ALL表示“All users” 而不是“All groups”。