centos8web部署问题总结

一、调整centos8的时间：

更改时间：

安装chrouy:

yum install chrony -y

启动chrony服务：

systemctl start chronyd

查看服务状态：

systemctl status chronyd

同步时间：

chronyc sources -v 

查看时间：

date

二、调整centos8更改时区：

将时区改为亚洲/上海

 timedatectl set-timezone Asia/Shanghai 

查看时区：

timedatectl

查看时间：

date

三、禁用ssh-22端口号：

第一步：修改SSH配置文件（注意是sshd_config而不是ssh_config，多了个d）

vim /etc/ssh/sshd_config
找到“#Port 22”，这一行直接键入“yyp”复制该行到下一行，然后把两行的“#”号即注释去掉，修改成：

Port 22
Port 10086
SSH默认监听端口是22，如果你不强制说明别的端口，”Port 22”注不注释都是开放22访问端口。上面我保留了22端口，防止之后因为各种权限和配置问题，导致连22端口都不能访问了，那就尴尬了。等一切都ok了，再关闭22端口。

增加了10086端口，大家修改端口时候最好挑10000~65535之间的端口号，10000以下容易被系统或一些特殊软件占用，或是以后新应用准备占用该端口的时候，却被你先占用了，导致软件无法运行。

第二步：如果你关闭了SELinux，可以忽略第二步。

先查看SELinux开放给ssh使用的端口

semanage port -l | grep ssh
我的系统打印如下：

ssh_port_t tcp 22

可知，SELinux没有给SSH开放10086端口，那么我们来添加该端口：

semanage port -a -t ssh_port_t -p tcp 10086
完成后，再次查看

semanage port -l|grep ssh

ssh_port_t tcp 22，10086
第三步：如果你关闭了防火墙，可以忽略第三步，话说防火墙不开启太危险了，建议开启。

先查看防火墙是否开启了10086端口：

firewall-cmd --permanent --query-port=10086/tcp
打印结果如下：

no

表示没有开放10086端口，那么添加下该端口：

firewall-cmd --permanent --add-port=10086/tcp
打印结果如下：

success

重新加载防火墙策略：

firewall-cmd --reload
执行成功后，查看10086端口是否被开启：

firewall-cmd --permanent --query-port=10086/tcp
打印结果如下：

yes

第四步：重启SSH服务和防火墙，最好也重启下服务器

systemctl restart sshd
systemctl restart firewalld.service
shutdown -r now
第五步：尝试通过10086端口登录SSH，或者进入该服务器直接本地访问SSH如下：

ssh root@localhost -p 10086

登录成功后

关闭默认 22端口

firewall-cmd --permanent --zone=public --remove-port=8080/tcp

重启防火墙

systemctl reload firewalld

查看防火墙端口

 firewall-cmd --list-ports

四、CMD:

查看端口是否连接成功：telnet 主机ip 端口号

navicat 链接报2003错误解决办法：

查看selinux是否打开3306

semanage port -l|grep mysqld_port_t 

查看防火墙是否打开3306：

firewall-cmd --query-port=3306/tcp

如果返回是no

则需要防火墙开放3306：

firewall-cmd --permanent --add-port=3306/tcp

重新加载firwalld：

firewall -cmd --reload

五、禁用root：

• 在创建各种云主机的时候，云服务商给的都是root用户，这很方便，但是有某些时候会造成一些困扰，日后在服务器上启动各种服务后，仅仅拥有root权限的用户才能访问更改这些服务，这样会造成一些不必要的困扰，而且也不安全。出于安全考虑，以及日后服务器的多用户管理，应该在一开始就对服务器的root用户进行禁用，仅使用sudo命令来执行某些root才能执行的命令。
• 工具准备：Linux云主机，SSH工具
• 创建拥有sudo权限的用户
  1. 注意 ：在阻止对root帐户的访问之前，请确保已使用useradd命令创建了一个管理帐户，该帐户能够使用sudo命令获取root用户权限，并为该用户帐户提供强密码。 标志-m表示创建用户的主目录， -c表示注释：

     1 # useradd -m -c "Admin User" admin
     2 # passwd admin

  2. 接下来，使用usermod命令将此用户添加到适当的系统管理员组，其中开关-a表示附加用户帐户， -G指定用于添加用户的组（wheel或sudo，具体取决于您的Linux发行版）：

     1 # usermod -aG wheel admin    #CentOS/RHEL
     2 # usermod -aG sudo admin     #Debian/Ubuntu 

  3. 创建具有管理权限的用户后，请切换到该帐户以阻止root访问。

     1 # su admin

• 更改root用户的Shell
  1. 禁用root用户登录的最简单方法是将其shell从/bin/bash或/bin/bash （或允许用户登录的任何其他shell）更改为/etc/passwd文件中的/sbin/nologin ，您可以使用您喜欢的任何命令行编辑器打开进行编辑，如图所示。

     1 $ sudo vim /etc/passwd

     编辑保存

     1 root:x:0:0:root:/root:/bin/bash
     2 to
     3 root:x:0:0:root:/root:/sbin/nologin

     

     保存文件并关闭它。

     从现在开始，当root用户登录时，他/她将收到消息“ 此帐户当前不可用。 “这是默认消息，但是，您可以更改它并在文件/etc/nologin.txt中设置自定义消息。此方法仅对需要用于用户登录的shell的程序有效，否则，sudo，ftp和email客户端可以访问root帐户。

• 通过控制台设备（TTY）禁用root登录

  1. 第二种方法使用名为pam_securetty的PAM模块，只有当用户登录“ 安全”TTY时才允许root访问，如/etc/securetty中的列表所定义。

     上述文件允许您指定允许root用户登录的TTY设备，清空此文件可防止在连接到计算机系统的任何设备上进行root登录。

     要创建空文件，请运行。

     1 $ sudo mv /etc/securetty /etc/securetty.orig
     2 $ sudo touch /etc/securetty
     3 $ sudo chmod 600 /etc/securetty

     此方法有一些限制，它只影响登录，显示管理器（即gdm，kdm和xdm）等程序以及启动TTY的其他网络服务。 诸如su，sudo，ssh和其他相关openssh工具之类的程序将可以访问root帐户。

• 禁用SSH root登录
  1. 访问远程服务器或VPS的最常用方法是通过SSH并阻止其下的root用户登录，您需要编辑/etc/ssh/ sshd_config文件。

     1 $ sudo vim /etc/ssh/sshd_config

     然后取消注释（如果它被注释）指令PermitRootLogin并将其值设置为no ，如屏幕截图所示。

  2. 

  3. 在SSh中禁用Root登录

     完成后，保存并关闭文件。 然后重新启动sshd服务以应用最近的配置更改。

     1 $ sudo systemctl restart sshd 
     2 OR
     3 $ sudo service sshd restart 

     您可能已经知道，此方法仅影响openssh工具集，ssh，scp，sftp等程序将被阻止访问root帐户。

• 通过PAM限制root用户登录

  1. 可插拔认证模块 （简称PAM ）是Linux系统上集中，可插拔，模块化和灵活的认证方法。 PAM通过/lib/security/pam_listfile.so模块，可以极大地灵活地限制特定帐户的权限。

     上述模块可用于引用不允许通过某些目标服务（如login，ssh和任何PAM感知程序）登录的用户列表。

     在这种情况下，我们希望通过限制对login和sshd服务的访问来禁用对系统的root用户访问。 首先在/etc/pam.d/目录中打开并编辑目标服务的文件，如图所示。

     $ sudo vim /etc/pam.d/login
     OR
     $ sudo vim /etc/pam.d/login

     接下来，在两个文件中添加以下配置。

     auth    required       pam_listfile.so \
             onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

     完成后，保存并关闭每个文件。 然后创建普通文件/etc/ssh/deniedusers ，每行应包含一个项目，而不是世界可读的。

     在其中添加名称root，然后保存并关闭它。

     $ sudo vim /etc/ssh/deniedusers

     还要为此设置所需的权限。

     $ sudo chmod 600 /etc/ssh/deniedusers

     此方法仅影响支持PAM的程序和服务。 您可以通过ftp和电子邮件客户端等阻止对系统的root访问。

     有关更多信息，请参阅相关手册页。

  2. $ man pam_securetty
     $ man sshd_config
     $ man pam

修改文件权限：

sudo chmod 777 /usr/dev/tomcat-8080/bin/

六、centos8修改utf-8乱码

yum install glibc-common
 yum install -y langpacks-zh_CN
 vim /etc/locale.conf   # 修改这个文件
    LANG=zh_CN.utf8
 source /etc/locale.conf

七、修改linux root密码

passwd root