與Windows等其他操作系統相比��,Linux的默認安全性非常好�。但它仍然有弱點(diǎn)并不是無(wú)懈可擊的�����。在這篇文章中��,下面將介紹多種保護Linux vps和防止黑客攻擊的方法���。
1���、禁用根登錄
想要安全的Linux vps����,那么不應該以root用戶(hù)身份登錄�����。默認情況下�,每個(gè)Linux vps都有“root”作為用戶(hù)名�����,因此黑客會(huì )嘗試暴力攻擊來(lái)破解密碼并獲得訪(fǎng)問(wèn)權限����。禁用從“root”用戶(hù)名登錄會(huì )增加另一層安全性���,因為它會(huì )阻止黑客簡(jiǎn)單地猜測您的用戶(hù)憑據��。
我們無(wú)需以root用戶(hù)身份登錄��,而是需要創(chuàng )建另一個(gè)用戶(hù)名并使用“sudo”命令來(lái)執行 root 級別的命令�����。(Sudo是一種特殊的訪(fǎng)問(wèn)權限����,可以授予授權用戶(hù)�,以便他們可以運行管理命令�����,并且無(wú)需root 訪(fǎng)問(wèn)權限��。)
在禁用“根”帳戶(hù)之前�,請務(wù)必創(chuàng )建我們的非根用戶(hù)并為其提供適當級別的授權���。準備就緒后���,繼續/etc/ssh/sshd_config在nano或vi中打開(kāi)并找到“PermitRootLogin”參數�。
默認情況下����,這會(huì )說(shuō)“是”����。
將其更改為“否”并保存更改���。
2�、更改SSH端口
人們很難在找不到SSH的情況下破解它�,更改SSH端口號可以防止惡意腳本直接連接到默認端口(22)����。為此��,我們需要打開(kāi)/etc/ssh/sshd_config并更改適當的設置�����。請務(wù)必仔細檢查所選端口號是否正在被任何其他服務(wù)使用�����。
3��、保持服務(wù)器軟件更新
更新服務(wù)器的軟件并不困難�,我們可以簡(jiǎn)單地使用rpm/yum包管理器 (CentOS/RHEL)或apt-get (Ubuntu/Debian)將已安裝的軟件�����、模塊和組件升級到更新版本��。
我們甚至可以將操作系統配置為通過(guò)電子郵件發(fā)送yum包更新通知�,這使得跟蹤正在發(fā)生的變化變得容易����。而且����,如果我們愿意自動(dòng)執行該任務(wù)���,可以設置一個(gè)cronjob來(lái)代表應用所有可用的安全更新�����。
如果使用的是面板���,例如Plesk或cPanel�����,那么我們也需要更新它����。大多數面板都可以設置為自動(dòng)更新����,cPanel使用EasyApache進(jìn)行大多數包更新�。
4����、刪除不需要的模塊/包
我們不太可能需要與Linux發(fā)行版捆綁在一起的所有軟件包和服務(wù)��。刪除的每項服務(wù)都減少了一個(gè)需要擔心的弱點(diǎn)�����,因此請確保我們只運行實(shí)際使用的服務(wù)�。最重要的是����,避免安裝不必要的軟件�、軟件包和服務(wù)�,以最大程度地減少潛在威脅���。它還具有簡(jiǎn)化服務(wù)器性能的受歡迎的副作用����!
5���、禁用 IPv6
IPv6與IPv4相比有幾個(gè)優(yōu)點(diǎn)�,但我們不太可能在使用它�����,也很少有人在使用它����。但它被黑客使用�,他們經(jīng)常通過(guò)IPv6發(fā)送惡意流量���,讓協(xié)議保持開(kāi)放狀態(tài)可能會(huì )使我們面臨潛在的攻擊����。要解決此問(wèn)題���,請編輯/etc/sysconfig/network并更新設置���,以便它們讀取NETWORKING_IPV6=no和IPV6INIT=no����。
6���、使用GnuPG加密
黑客通常會(huì )在數據通過(guò)網(wǎng)絡(luò )傳輸時(shí)將其作為目標�����。這就是為什么使用密碼�、密鑰和證書(shū)對傳輸到服務(wù)器的數據進(jìn)行加密至關(guān)重要的原因�����。一種流行的工具是GnuPG��,這是一種基于密鑰的身份驗證系統����,用于加密通信�。它使用的“公鑰”只能通過(guò)“私鑰”解密�����,而“私鑰”僅供預期接收者使用��。
7���、擁有強大的密碼政策
弱密碼一直是最大的安全威脅之一���,所以不允許用戶(hù)帳戶(hù)的密碼字段為空���,或使用簡(jiǎn)單的密碼�,如“123456”���、“password”�����、“qwerty123”或“trustno1”�。我們可以通過(guò)要求所有密碼混合使用大小寫(xiě)來(lái)提高安全性��,以避免使用字典單詞并包含數字和符號���。啟用密碼老化以強制用戶(hù)定期更改舊密碼�,并考慮限制重復使用以前的密碼���。
還可以使用“faillog”命令設置登錄失敗限制�����,并在反復嘗試失敗后鎖定用戶(hù)帳戶(hù)����,以保護我們的系統免受暴力攻擊����。
8��、配置防火墻
簡(jiǎn)而言之���,如果我們想要真正安全的Linux vps����,則需要防火墻�����。幸運的是��,有很多可供選擇����。NetFilter是與Linux內核集成的防火墻�,我們可以配置它來(lái)過(guò)濾掉不需要的流量�����。借助NetFilter和iptables���,可以對抗分布式拒絕服務(wù)(DDos)攻擊�����。TCPWrapper是另一個(gè)有用的應用程序����,它是一個(gè)基于主機的訪(fǎng)問(wèn)控制列表 (ACL)系統�,用于過(guò)濾不同程序的網(wǎng)絡(luò )訪(fǎng)問(wèn)��。它提供主機名驗證�����、標準化日志記錄和欺騙保護��,所有這些都有助于增強我們的安全性�。
其他流行的防火墻包括CSF和APF��,它們都為cPanel和Plesk等流行的面板提供插件�。
9��、使用磁盤(pán)分區
為了增加安全性��,最好對磁盤(pán)進(jìn)行分區����,使操作系統文件遠離用戶(hù)文件��、tmp 文件和第三方程序���。我們還可以禁用SUID/SGID訪(fǎng)問(wèn) (nosuid) 并禁用操作系統分區上的二進(jìn)制文件(noexec)執行�。
10���、將/boot設置為只讀
在Linux vps上�,所有特定于內核的文件都存儲在“/boot”目錄中�����。
但是該目錄的默認訪(fǎng)問(wèn)級別是“讀寫(xiě)”��,為防止對引導文件進(jìn)行未經(jīng)授權的修改����,這對我們的服務(wù)器的平穩運行至關(guān)重要��,將訪(fǎng)問(wèn)級別更改為“只讀”是個(gè)好主意���。
為此����,只需編輯/etc/fstab文件并將LABEL=/boot /boot ext2 defaults, ro 1 2添加到底部�。而且��,如果我們將來(lái)需要對內核進(jìn)行更改��,可以簡(jiǎn)單地恢復到“讀寫(xiě)”模式�����。然后我們可以進(jìn)行更改并在完成后將其設置回“只讀”���。
以上是保護Linux vps和防止黑客攻擊的10個(gè)方法�����。還有更多其他方法�,歡迎隨時(shí)探討��!
