本文概述
- 更改SSH默认端口
- 防范蛮力攻击
- 禁用基于密码的身份验证
- 抵御DDoS攻击
- 定期备份
- 定期更新
- 不要离开开放的港口
你可能会在安全性插件, WAF, 基于云的安全性上进行支出, 以保护你的站点(第7层), 但如果不加强操作系统的设置可能会很危险。
趋势正在改变。
文章图片
Web正在从共享托管迁移到云, 以实现多种优势。
- 由于没有其他用户共享资源, 因此响应时间更快
- 完全控制技术堆栈
- 完全控制操作系统
- 低成本
【如何保护和加固Cloud VM(Ubuntu和CentOS)()】“ 拥有权利的同时也被赋予了重大的责任”在将网站托管在云VM上时, 你获得了更高的控制权, 但是这需要一点系统管理员技能来管理VM。
你准备好了吗?
注意:如果你不愿意花费时间, 可以选择管理AWS, Google Cloud, Digital Ocean, Linode, Vultr&Kyup VM的Cloudways。
让我们进入实用指南来保护Ubuntu和CentOS VM。
云服务器安全提示
- 更改SSH默认端口
- 防范蛮力攻击
- 禁用基于密码的身份验证
- 抵御DDoS攻击
- 定期备份
- 定期更新
- 不要离开开放的港口
如果你使用复杂的密码进行保护, 则它们可能无法进入服务器。但是, 它们可以发动蛮力攻击来干扰服务器的运行。
最好的办法是将SSH端口更改为其他端口, 这样即使有人知道IP地址, 他们也无法尝试使用默认的SSH端口进行连接。
在Ubuntu / CentOS中更改SSH端口非常容易。
- 使用root特权登录到你的VM
- 备份sshd_config(/ etc / ssh / sshd_config)
- 使用VI编辑器打开文件
vi /etc/ssh/sshd_config
查找具有端口22的行(通常在文件的开头)
# What ports, IPs and protocols we listen for Port 22
- 将22更改为其他数字(请记住, 因为需要连接该数字)。假设5000
Port 5000
- 保存文件并重新启动SSH守护程序
service sshd restart
现在, 你或任何人将无法使用SSH默认端口连接到你的服务器。相反, 你可以使用新端口进行连接。
如果在MAC上使用SSH客户端或终端, 则可以使用-p定义自定义端口。
ssh -p 5000 [email
protected]
很简单, 不是吗?
防范蛮力攻击 黑客用来控制你的在线业务的常见机制之一是对WordPress, Joomla等服务器和Web平台发起暴力攻击。
如果不认真对待, 这可能很危险。你可以使用两种流行的程序来保护Linux免受暴力侵害。
SSH防护 SSHGuard从系统日志文件监视正在运行的服务, 并阻止重复的错误登录尝试。
最初, 它用于SSH登录保护, 但现在它支持许多其他功能。
- 纯FTP, PRO FTP, VS FTP, FreeBSD FTP
- 进出口
- 发送邮件
- 鸽舍
- 瓜皮
- Wimap
Ubuntu:
apt-get install SSHGuard
CentOS的:
wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm rpm -ivh sshguard-1.5-7.1.x86_64.rpm
失败2禁 Fail2Ban是另一个流行的保护SSH的程序。如果失败的登录尝试达到定义的阈值, 则Fail2Ban自动更新iptables规则。
要在Ubuntu中安装Fail2Ban:
apt-get install fail2ban
并在CentOS中安装:
yum install epel-release yum install fail2ban
SSH Guard和Fail2Ban应该足以保护SSH登录。但是, 如果你需要进行更多探索, 可以参考以下内容。
- CSF(ConfigServer安全性和防火墙)
- 拒绝主机
但是, 如果你有多个用户, 并且经常从多个公用计算机登录, 那么每次交换密钥都可能很麻烦。
因此, 根据情况, 如果你选择禁用基于密码的身份验证, 则可以执行以下操作。
注意:这假设你已经设置了SSH密钥交换。
- 使用vi编辑器修改/ etc / ssh / sshd_config
- 添加以下行或取消注释(如果存在)
PasswordAuthentication no
- 重新加载SSH守护程序
可以找到原始IP, 并且作为最佳实践, 你不应该将服务器IP公开到公共Internet。有多种方法可以隐藏” 原始IP” 以防止你的云/ VPS服务器上的DDoS。
使用负载平衡器(LB)–实现面向Internet的负载平衡器, 因此服务器IP不会暴露给Internet。你可以选择许多负载均衡器-Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB等。
文章图片
使用CDN(内容交付网络)– CDN是提高网站性能和安全性的绝佳方法之一。
实施CDN时, 可以使用CDN提供程序提供的任意播IP地址配置DNS A记录。这样, 你正在为你的域宣传CDN提供者IP, 并且不公开来源。
有很多CDN提供商可以加快网站性能, DDoS保护, WAF和许多其他功能。
- 云耀斑
- 栈路径
- JUICE
- 密钥CDN
调整内核设置和iptables –你可以利用iptables阻止可疑请求, 非SYN, 伪造的TCP标志, 专用子网等。
除了iptables, 你还可以配置内核设置。 Javapipe已通过说明对它进行了很好的解释, 因此在此不再赘述。
使用防火墙–如果你买得起基于硬件的防火墙, 那就太好了, 否则, 你可能希望使用利用iptables来保护与VM的传入网络连接的基于软件的防火墙。
有很多, 但是最受欢迎的之一是用于Ubuntu的UFW(非复杂防火墙)和用于CentOS的FirewallD。
定期备份 备份是你的朋友!如果没有任何效果, 则备份将为你提供帮助。
事情可能会出错, 但是如果你没有还原所需的备份怎么办?大多数云或VPS提供商都提供了一些额外的费用来提供备份, 因此应始终考虑。
向你的VPS提供商咨询如何启用备份服务。我知道Linode和DO会收取备份价格的20%。
如果你使用的是Google Compute Engine或AWS, 请安排每日快照。
拥有备份将很快使你能够还原整个VM, 因此你可以重新开始工作。或在快照的帮助下, 你可以克隆VM。
定期更新 确保VM OS保持最新状态是确保服务器不遭受任何最新安全漏洞的重要任务之一。
在Ubuntu中, 你可以使用apt-get update来确保安装了最新的软件包。
在CentOS中, 你可以使用yum update
不要离开开放的港口 换句话说, 仅允许所需的端口。
像邀请攻击者一样保留不需要的开放端口以利用。如果你只是在VM上托管网站, 则很可能需要端口80(HTTP)或443(HTTPS)。
如果你使用的是AWS, 则可以创建安全组以仅允许所需的端口, 并将它们与VM关联。
如果你使用的是Google Cloud, 请使用” 防火墙规则” 允许必要的端口。
文章图片
如果你使用的是VPS, 请按照Linode指南中的说明应用基本的iptables规则集。
以上内容应有助于你加固和保护服务器, 以更好地保护其免受在线威胁。
或者, 如果你尚未准备好管理VM, 那么你可能更喜欢管理多个云平台的Cloudways。而且, 如果你专门寻找高级WordPress托管服务, 那么这是一个。
推荐阅读
- 排名前三的Cloud Web Application Firewall(用于阻止网站攻击)(中小型企业)
- spotify web api授权码授予thelinmichael / spotify-web-api-java android
- 如何从Android调用RESTful Web服务()
- 无法通过Google Apps脚本显示授权对话框
- 如何获取用电子app打开文件的参数
- Spectron,mocha和chai可以声称变量在Electron-app中具有预期值吗()
- 电子积累器app尺寸太大
- 加密的本地数据库,可在Electron app中使用
- 在Electron中打包的Angular app中运行shell脚本