今天,和大家一起來分享VPS最基本的安全配置。
第一、修改SSH端口
VPS默認的SSH端口是22,那些掃描窮舉密碼的,也勢必從22開始,所以,修改22為一個其他的數字,是非常有必要的。
好了,SSH登陸VPS,修改配置文件。
vi /etc/ssh/sshd_config
找到#Port 22,去掉前面的#,並修改為Port 1380(此數字盡量用4位數,避免被占用),然后,重啟sshd
service sshd restart
***注意事項:如果您害怕修改錯誤,導致自己都不能登陸VPS,也可以找到#Port 22去掉#,然后加入一行Port 1380,開啟另一個putty窗口,嘗試新端口登陸,確認OK后,再刪除Port 22即可!
第二、禁用root登陸,添加新賬戶
首先,添加新用戶賬號
useradd ax2016 #此用戶自定義,此處以ax2016為例
設定新用戶密碼
passwd 123456 #密碼盡量復制
輸入兩次密碼之后,OK。
接下來通過修改配置文件禁止root登陸,依然是修改/etc/ssh/sshd_config。
vi /etc/ssh/sshd_config
找到#PermitRootLogin yes,去掉前面的#,並將yes改為no,然后重啟sshd。
service sshd restart
嘗試用新的用戶登陸,然后用su root提權到root。
login as: ax2016 #新用戶名 ax2016@*.*.*.* password:***** #新用戶密碼 Last login: Thu Mar 5 08:14:21 2012 from *.*.*.* su root #提權 Password:*********** #ROOT密碼
***注意事項:設定強悍的密碼也是保證賬戶安全的屏障,比如用復雜的,隨機的密碼做root密碼,被窮舉猜解到的幾率也是非常小的,跟買福利彩一樣!
第三、安裝DDos deflate防御輕量級CC和DDOS
在wp論壇看到一位拿Hostigation開免空的朋友說了一句非常經典的話:現在小孩子都會D站……低調是最好的選擇。盡量不在某些地方顯擺,過於招搖,也算做了一道安全防御吧!話說常在江邊走,哪有不濕鞋?防患於未然,是很有必要的。好了,廢話說了一堆,現在安裝DDos deflate。
在說到DDos deflate之前,我們還需要了解一個東西:iptables
iptables是linux內核集成的IP信息包過濾系統,他可以簡單的添加、編輯和除去規則,而這些規則是在做信息包過濾決定時,防火牆所遵循和組成的規則。
我們首選確認iptables服務狀態(這個一般VPS系統都帶了)
service iptables staus
確認之后,安裝DDos deflate
wget http://www.inetbase.com/scripts/ddos/install.sh chmod +x install.sh ./install.sh
安裝完成后,還需要修改配置文件,達到利用iptables自動鎖定IP的目的。
vi /usr/local/ddos/ddos.conf
接下來修改,這里主要是APF_BAN=1修改為0(使用iptables),另外EMAIL_TO=”root”可以將root修改為你的一個Email地址,這樣系統辦掉哪個IP,會有郵件提示你。
##### Paths of the script and other files PROGDIR=”/usr/local/ddos” PROG=”/usr/local/ddos/ddos.sh” IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” //IP地址白名單 CRON=”/etc/cron.d/ddos.cron” //定時執行程序 APF=”/etc/apf/apf” IPT=”/sbin/iptables” ##### frequency in minutes for running the script ##### Caution: Every time this setting is changed, run the script with –cron ##### option so that the new frequency takes effect FREQ=1 //檢查時間間隔,默認1分鍾 ##### How many connections define a bad IP? Indicate that below. NO_OF_CONNECTIONS=150 //最大連接數,超過這個數IP就會被屏蔽,一般默認即可 ##### APF_BAN=1 (Make sure your APF version is atleast 0.96) ##### APF_BAN=0 (Uses iptables for banning ips instead of APF) APF_BAN=0 //使用APF還是iptables。推薦使用iptables,將APF_BAN的值改為0即可。 ##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script) ##### KILL=1 (Recommended setting) KILL=1 //是否屏蔽IP,默認即可 ##### An email is sent to the following address when an IP is banned. ##### Blank would suppress sending of mails EMAIL_TO=admin@zrblog.net //當IP被屏蔽時給指定郵箱發送郵件,推薦使用,換成自己的郵箱 ##### Number of seconds the banned ip should remain in blacklist. BAN_PERIOD=600 //禁用IP時間,默認600秒,可根據情況調整
由於這個系統默認白名單有些問題,經常會有失誤,所以,我們最好再設定手工設置白名單並不可修改
vi /usr/local/ddos/ignore.ip.list #手工設置白名單IP chattr +i /usr/local/ddos/ignore.ip.list #強制不允許修改 chattr -i /usr/local/ddos/ignore.ip.list #解除不允許修改
卸載DDos deflate方法。
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos chmod 700 uninstall.ddos ./uninstall.ddos
好了,有關簡單的安全配置,就只說以上,當然,您還可以配合系統防火牆,做更高級的設定。