体育平台

VPS新手教程⑧:VPS實用簡單安全配置

時間:12-03-06 欄目:VPS教程 作者:趙 容 點擊: 24,768 次

長期以來,趙容手中的VPS主要的用處就是裝lnmp,閑時看看探針,獲得點自我滿足感O(∩_∩)O~所以,就沒有太過關注安全問題。網絡上蛋痛的人總是那么多……遭遇一些事情之后反思,做一些必要的,簡單的,適合趙容這種小白級別的安全措施還是蠻有必要的。今天,我們就一起來分享VPS最基本的安全配置。

safe

第一、修改SSH端口

VPS默認的SSH端口是22,那些掃描窮舉密碼的,也勢必從22開始,所以,修改22為一個其他的數字,是非常有必要的。

好了,SSH登陸VPS,修改配置文件。

vi /etc/ssh/sshd_config

找到#Port 22,去掉前面的#,并修改為Port 1380(此數字盡量用4位數,避免被占用),然后,重啟sshd

service sshd restart

***注意事項:如果您害怕修改錯誤,導致自己都不能登陸VPS,也可以找到#Port 22去掉#,然后加入一行Port 1380,開啟另一個putty窗口,嘗試新端口登陸,確認OK后,再刪除Port 22即可!

第二、禁用root登陸,添加新賬戶

首先,添加新用戶賬號

useradd zrblog?? #此用戶自定義,此處以zrblog為例

設定新用戶密碼

passwd zrblog

輸入兩次密碼之后,OK。

接下來通過修改配置文件禁止root登陸,依然是修改/etc/ssh/sshd_config。

vi /etc/ssh/sshd_config

找到#PermitRootLogin yes,去掉前面的#,并將yes改為no,然后重啟sshd。

service sshd restart

嘗試用新的用戶登陸,然后用su root提權到root。

login as: zrblog???????? #新用戶名

zrblog@*.*.*.* password:*****?????????????? #新用戶密碼

Last login: Thu Mar 5 08:14:21 2012 from *.*.*.*

su root??????????????????????????? #提權

Password:***********?????????????????????????? #ROOT密碼

***注意事項:設定強悍的密碼也是保證賬戶安全的屏障,比如用復雜的,隨機的密碼做root密碼,被窮舉猜解到的幾率也是非常小的,跟買福利彩一樣!

第三、安裝DDos deflate防御輕量級CC和DDOS

在wp論壇看到一位拿Hostigation開免空的朋友說了一句非常經典的話:現在小孩子都會D站……低調是最好的選擇。盡量不在某些地方顯擺,過于招搖,也算做了一道安全防御吧!話說常在江邊走,哪有不濕鞋?防患于未然,是很有必要的。好了,廢話說了一堆,現在安裝DDos deflate。

在說到DDos deflate之前,我們還需要了解一個東西:iptables

iptables是linux內核集成的IP信息包過濾系統,他可以簡單的添加、編輯和除去規則,而這些規則是在做信息包過濾決定時,防火墻所遵循和組成的規則。

我們首選確認iptables服務狀態(這個一般VPS系統都帶了)

service iptables staus

確認之后,安裝DDos deflate

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod +x install.sh
./install.sh

安裝完成后,還需要修改配置文件,達到利用iptables自動鎖定IP的目的。

vi /usr/local/ddos/ddos.conf

接下來修改,這里主要是APF_BAN=1修改為0(使用iptables),另外EMAIL_TO="root"可以將root修改為你的一個Email地址,這樣系統辦掉哪個IP,會有郵件提示你。

##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"? //IP地址白名單
CRON="/etc/cron.d/ddos.cron"??? //定時執行程序
APF="/etc/apf/apf"
IPT="/sbin/iptables"
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
#####????????? option so that the new frequency takes effect
FREQ=1?? //檢查時間間隔,默認1分鐘
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150???? //最大連接數,超過這個數IP就會被屏蔽,一般默認即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=0??????? //使用APF還是iptables。推薦使用iptables,將APF_BAN的值改為0即可。
##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1?? //是否屏蔽IP,默認即可
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=admin@bxgclc.com?? //當IP被屏蔽時給指定郵箱發送郵件,推薦使用,換成自己的郵箱
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600??? //禁用IP時間,默認600秒,可根據情況調整

由于這個系統默認白名單有些問題,經常會有失誤,所以,我們最好再設定手工設置白名單并不可修改。

vi /usr/local/ddos/ignore.ip.list? #手工設置白名單IP
chattr +i /usr/local/ddos/ignore.ip.list??? #強制不允許修改
chattr -i /usr/local/ddos/ignore.ip.list???? #解除不允許修改

卸載DDos deflate方法。

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 700 uninstall.ddos
./uninstall.ddos

好了,有關簡單的安全配置,就只說以上,當然,您還可以配合系統防火墻,做更高級的設定。

聲明: 博客僅為分享信息絕非推薦,網站不參與交易絕非中介,內容均僅代表個人觀點絕非權威,讀者請自行考慮后入手并自擔風險!一分錢一分貨仍是恒久不變之真理,未成年讀者(包括生理和心理)請在監護人陪同下訪問本站!本文由( 趙 容 )原創編譯,轉載請保留鏈接: VPS新手教程⑧:VPS實用簡單安全配置鄙視無恥復制行為!
關于使用: 本站主要分享服務器及VPS信息,不提供任何產品銷售或代購,讀者請在國家法律法規許可范圍內購買和使用產品,歡迎加入QQ群:683851361討論.
關于安全: 任何IDC都有倒閉和跑路的可能,主機線路更不可控,月付和備份是您的最佳選擇,請保持良好的、有規則的備份習慣.

VPS新手教程⑧:VPS實用簡單安全配置:目前有19 條留言

  1. 6樓
    oy0:

    Iptables服務貌似debian沒有,但centos一般有(centos7可能要自己裝iptables-services)。

    2016-07-15 06:06 [回復]
  2. 5樓
    2ryan:

    其實主機商是不是能看到VPS上走過的數據?

    2016-05-31 18:32 [回復]
    • 趙 容:

      母雞都在主機商手里,如果特別在意這個的話就只能買物理服務器咯。

      2016-05-31 21:36 [回復]
      • 2ryan:

        如果這樣的話,其實買vps主機和直接買ss帳號也就一樣了(就安全性而言)。都說自建vps安全,結果數據都握在主機商手裡…

        2016-06-01 11:43 [回復]
  3. 4樓
    :

    你好,我來求救。我建了新賬戶,也貌似提了權,就關閉了root,后來發現新賬戶提權不成功,root也不能用了,怎么辦啊?急等。

    2015-01-16 08:02 [回復]
    • 趙 容:

      這個要是有vnc的話,可能能處理,不過,我真沒這么干過。

      2015-01-16 08:46 [回復]
      • :

        vnc是啥?

        2015-01-16 10:46 [回復]
      • :

        解決了,我用新賬戶u-提升權限,vi config,改回去找回root,設了個復雜的密碼算了,謝謝你。

        2015-01-16 11:27 [回復]
        • 趙 容:

          ??

          2015-01-16 14:02 [回復]
        • james:

          你好,我也碰到了相同的問題,請問具體怎么解決的了,能詳細指點下嗎,非常感謝

          2016-10-31 15:39 [回復]
  4. 地板
    大白:

    service sshd restart
    時提示sshd:unrecognized service?

    2013-01-29 00:47 [回復]
  5. 板凳
    seamus:

    按趙哥這樣說~KVM的VPS需要多大的內存啊!最少!準備入手hostigation的!不知道支持成人不 ??

    2012-05-30 14:19 [回復]
    • 趙 容:

      kvm只是個架構,128MB的都有挺多人賣的吧,是否支持成人要看IDC的條款了。

      2012-05-30 15:12 [回復]
      • seamus:

        我是說像你這樣做安全設置的!流量大概500IP的!買KVM類型的VPS趙哥你推薦用多大內存的!

        2012-05-30 15:41 [回復]
        • 趙 容:

          我認為,在預算許可的前提下,內存越大越好。

          2012-05-30 15:42 [回復]
          • seamus:

            ?? 其實我是想問最低配置需要多少!

            2012-06-03 21:04 [回復]
            • 趙 容:

              其實這篇文章講述的安全配置,與VPS的硬件配置沒有關系,主機商能想出來開出來的最低配置的產品,都可以做簡單的安全設定的。

              2012-06-03 21:10 [回復]
  6. 沙發
    :

    ?? 和小夜內容差不多。其實,可以寫一寫myphpadmin安全設置的教程

    2012-03-09 20:56 [回復]
    • 趙 容:

      呵呵,基本的安全設定就是這些了,都是差不多的了。

      2012-03-10 08:04 [回復]

廣而告之