提示:工具下载链接在文章最后

---

一.加固功能介绍

1. 加固分为两部分:安全加固、加固shell
2. 安全加固是通过防火墙，将目前已开放的端口(netstat命令查看)放通，其他端口默认拒绝，后续也可以通过工具来放通、拒绝IP/端口的访问。
3. 加固shell是用脚本来模拟一个shell,模拟shell可执行的命令受限，并且此脚本无法通过ctrl+c、ctrl+z等快捷键退出。这个功能在护网等场景会用到。

• 加固shell开启后,只允许vshell这一个用户登陆,其他用户(包括root)无法登陆。
• 加固shell开启后,无法使用ftp、telnet等功能了。

5. 日志文件:/var/log/ywtools/ywtools-jiagu.log
6. /usr/local/ywtools/config/config.ini中jiagu参数

• shell_service:加固shell功能是否开启
• shell_vsftpd_status、shell_telnet_status、shell_sftp_status这几个参数是判断ftp、telnet等功能是否被关闭
• [shell_timeout_list]:是判断登陆模拟shell半个小时之内无操作,会退出登陆会话。
  

二.配置加固功能

1.配置安全加固功能

1.1 开放目前设备监听的所有端口

ywtool jiagu auto
1(指令1)

防火墙策略查看:

firewall-cmd --list-all

1.2 只开放80、443、20、21、22端口

ywtool jiagu auto
2(指令2)

防火墙策略查看:

firewall-cmd --list-all

1.3 防火墙配置工具

ywtool jiagu single

1.3.1 开放允许访问的端口

ywtool jiagu single
1(指令1)
1(指令1,添加)
备注:这样任何人都可以访问本机器的8999(测试)端口

1.3.2 删除允许访问的端口

ywtool jiagu single
1(指令1)
2(指令2,删除)
备注:这样任何人都无法访问本机器的8999(测试)端口

1.3.3 添加IP地址允许访问规则

ywtool jiagu single
2(指令2)
1(指令1)
1(指令1,允许访问)
备注:这样1.1.1.0/24(测试)网段的并且源端口是80(测试)端口的机器都可以访问本机器

1.3.4 添加IP地址禁止访问规则

ywtool jiagu single
2(指令2)
1(指令1)
2(指令1,拒绝访问)
备注:这样2.2.2.0/24(测试)网段的并且源端口是3389(测试)端口的机器无法访问本机器

1.3.5 移除IP地址规则

ywtool jiagu single
2(指令2)
2(指令1)
备注:这样2.2.2.0/24(测试)网段的并且源端口是3389(测试)端口的机器可以访问本机器

2.配置加固shell功能

ywtool jiagu shell

2.1 登陆

ssh vshell@[IP地址]
默认密码:vshell

2.2 查看帮助

?
备注：查看可执行的命令

2.3 小技巧

按"⬆️"箭头可以显示出上一条敲的命令
按"tab"键可补全命令
"exit"命令是直接退出当前登陆会话,不是退出脚本(退出加固shell模式在标题2.9)
"telnet"命令只能用来探测端口,不能连接其他机器
"deploytool"命令是依靠"select_check.sh"脚本
"reboot"和"shutdown"需要验证vshell用户的密码
如果不知道命令怎么用,可以敲一下命令,如果格式不对，会有提示:(例如下图)

2.4 查看系统时间

date

2.5 ping命令

ping [IP地址]
ping -I [本机IP] [目标IP]

2.6 telnet命令

telnet [IP地址] [端口]

2.7 traceroute命令

traceroute [IP地址] 

2.8 检查系统信息

deploytool

2.9 退出加固shell模式

shellexit
密码:shellexit

备注:此界面是无法ctrl+c、ctrl+z退出脚本的

三.关闭加固模式

3.1 关闭安全加固

systemctl stop firewalld
备注:安全加固就是firewalld防火墙实现的,所以直接关闭防火墙即可

3.2 关闭加固shell

ywtool disable shell

四.linux运维工具ywtool介绍

工具介绍/安装页面

五.ywtool工具下载链接

2024.2.29(目前最新)-ywtool-1.18.8下载链接
提取码：dhzt