< 返回新聞公共列表

保護(hù)Linux vps和防止黑客攻擊的方法

發(fā)布時(shí)間:2022-11-24 14:50:18

與Windows等其他操作系統(tǒng)相比,Linux的默認(rèn)安全性非常好。但它仍然有弱點(diǎn)并不是無(wú)懈可擊的。在這篇文章中,下面將介紹多種保護(hù)Linux vps和防止黑客攻擊的方法。


保護(hù)Linux vps和防止黑客攻擊的方法.png


1、禁用根登錄

想要安全的Linux vps,那么不應(yīng)該以root用戶身份登錄。默認(rèn)情況下,每個(gè)Linux vps都有“root”作為用戶名,因此黑客會(huì)嘗試暴力攻擊來(lái)破解密碼并獲得訪問(wèn)權(quán)限。禁用從“root”用戶名登錄會(huì)增加另一層安全性,因?yàn)樗鼤?huì)阻止黑客簡(jiǎn)單地猜測(cè)您的用戶憑據(jù)。

我們無(wú)需以root用戶身份登錄,而是需要?jiǎng)?chuàng)建另一個(gè)用戶名并使用“sudo”命令來(lái)執(zhí)行 root 級(jí)別的命令。(Sudo是一種特殊的訪問(wèn)權(quán)限,可以授予授權(quán)用戶,以便他們可以運(yùn)行管理命令,并且無(wú)需root 訪問(wèn)權(quán)限。)

在禁用“根”帳戶之前,請(qǐng)務(wù)必創(chuàng)建我們的非根用戶并為其提供適當(dāng)級(jí)別的授權(quán)。準(zhǔn)備就緒后,繼續(xù)/etc/ssh/sshd_config在nano或vi中打開(kāi)并找到“PermitRootLogin”參數(shù)。

默認(rèn)情況下,這會(huì)說(shuō)“是”。

將其更改為“否”并保存更改。


2、更改SSH端口

人們很難在找不到SSH的情況下破解它,更改SSH端口號(hào)可以防止惡意腳本直接連接到默認(rèn)端口(22)。為此,我們需要打開(kāi)/etc/ssh/sshd_config并更改適當(dāng)?shù)脑O(shè)置。請(qǐng)務(wù)必仔細(xì)檢查所選端口號(hào)是否正在被任何其他服務(wù)使用。


3、保持服務(wù)器軟件更新

更新服務(wù)器的軟件并不困難,我們可以簡(jiǎn)單地使用rpm/yum包管理器 (CentOS/RHEL)或apt-get (Ubuntu/Debian)將已安裝的軟件、模塊和組件升級(jí)到更新版本。

我們甚至可以將操作系統(tǒng)配置為通過(guò)電子郵件發(fā)送yum包更新通知,這使得跟蹤正在發(fā)生的變化變得容易。而且,如果我們?cè)敢庾詣?dòng)執(zhí)行該任務(wù),可以設(shè)置一個(gè)cronjob來(lái)代表應(yīng)用所有可用的安全更新。

如果使用的是面板,例如Plesk或cPanel,那么我們也需要更新它。大多數(shù)面板都可以設(shè)置為自動(dòng)更新,cPanel使用EasyApache進(jìn)行大多數(shù)包更新。


4、刪除不需要的模塊/包

我們不太可能需要與Linux發(fā)行版捆綁在一起的所有軟件包和服務(wù)。刪除的每項(xiàng)服務(wù)都減少了一個(gè)需要擔(dān)心的弱點(diǎn),因此請(qǐng)確保我們只運(yùn)行實(shí)際使用的服務(wù)。最重要的是,避免安裝不必要的軟件、軟件包和服務(wù),以最大程度地減少潛在威脅。它還具有簡(jiǎn)化服務(wù)器性能的受歡迎的副作用!


5、禁用 IPv6

IPv6與IPv4相比有幾個(gè)優(yōu)點(diǎn),但我們不太可能在使用它,也很少有人在使用它。但它被黑客使用,他們經(jīng)常通過(guò)IPv6發(fā)送惡意流量,讓協(xié)議保持開(kāi)放狀態(tài)可能會(huì)使我們面臨潛在的攻擊。要解決此問(wèn)題,請(qǐng)編輯/etc/sysconfig/network并更新設(shè)置,以便它們讀取NETWORKING_IPV6=no和IPV6INIT=no。


6、使用GnuPG加密

黑客通常會(huì)在數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸時(shí)將其作為目標(biāo)。這就是為什么使用密碼、密鑰和證書(shū)對(duì)傳輸?shù)椒?wù)器的數(shù)據(jù)進(jìn)行加密至關(guān)重要的原因。一種流行的工具是GnuPG,這是一種基于密鑰的身份驗(yàn)證系統(tǒng),用于加密通信。它使用的“公鑰”只能通過(guò)“私鑰”解密,而“私鑰”僅供預(yù)期接收者使用。


7、擁有強(qiáng)大的密碼政策

弱密碼一直是最大的安全威脅之一,所以不允許用戶帳戶的密碼字段為空,或使用簡(jiǎn)單的密碼,如“123456”、“password”、“qwerty123”或“trustno1”。我們可以通過(guò)要求所有密碼混合使用大小寫(xiě)來(lái)提高安全性,以避免使用字典單詞并包含數(shù)字和符號(hào)。啟用密碼老化以強(qiáng)制用戶定期更改舊密碼,并考慮限制重復(fù)使用以前的密碼。

還可以使用“faillog”命令設(shè)置登錄失敗限制,并在反復(fù)嘗試失敗后鎖定用戶帳戶,以保護(hù)我們的系統(tǒng)免受暴力攻擊。


8、配置防火墻

簡(jiǎn)而言之,如果我們想要真正安全的Linux vps,則需要防火墻。幸運(yùn)的是,有很多可供選擇。NetFilter是與Linux內(nèi)核集成的防火墻,我們可以配置它來(lái)過(guò)濾掉不需要的流量。借助NetFilter和iptables,可以對(duì)抗分布式拒絕服務(wù)(DDos)攻擊。TCPWrapper是另一個(gè)有用的應(yīng)用程序,它是一個(gè)基于主機(jī)的訪問(wèn)控制列表 (ACL)系統(tǒng),用于過(guò)濾不同程序的網(wǎng)絡(luò)訪問(wèn)。它提供主機(jī)名驗(yàn)證、標(biāo)準(zhǔn)化日志記錄和欺騙保護(hù),所有這些都有助于增強(qiáng)我們的安全性。

其他流行的防火墻包括CSF和APF,它們都為cPanel和Plesk等流行的面板提供插件。


9、使用磁盤分區(qū)

為了增加安全性,最好對(duì)磁盤進(jìn)行分區(qū),使操作系統(tǒng)文件遠(yuǎn)離用戶文件、tmp 文件和第三方程序。我們還可以禁用SUID/SGID訪問(wèn) (nosuid) 并禁用操作系統(tǒng)分區(qū)上的二進(jìn)制文件(noexec)執(zhí)行。


10、將/boot設(shè)置為只讀

在Linux vps上,所有特定于內(nèi)核的文件都存儲(chǔ)在“/boot”目錄中。

但是該目錄的默認(rèn)訪問(wèn)級(jí)別是“讀寫(xiě)”,為防止對(duì)引導(dǎo)文件進(jìn)行未經(jīng)授權(quán)的修改,這對(duì)我們的服務(wù)器的平穩(wěn)運(yùn)行至關(guān)重要,將訪問(wèn)級(jí)別更改為“只讀”是個(gè)好主意。

為此,只需編輯/etc/fstab文件并將LABEL=/boot /boot ext2 defaults, ro 1 2添加到底部。而且,如果我們將來(lái)需要對(duì)內(nèi)核進(jìn)行更改,可以簡(jiǎn)單地恢復(fù)到“讀寫(xiě)”模式。然后我們可以進(jìn)行更改并在完成后將其設(shè)置回“只讀”。


以上是保護(hù)Linux vps和防止黑客攻擊的10個(gè)方法。還有更多其他方法,歡迎隨時(shí)探討!


/template/Home/Zkeys724/PC/Static