Linux安全和常見弱點，保護VPS主機的安全提示

了解如何保護您的 Linux VPS將幫助您避免各種網絡威脅和攻擊。然而，這不是一次性的任務——除了應用最佳安全實踐外，您還必須持續(xù)監(jiān)控您的虛擬專用服務器?？紤]到這一點，我們將深入研究 Linux 安全及其常見弱點。我們還將討論 15 個 VPS 安全提示，以防止對您的虛擬服務器進行網絡攻擊。

Linux 安全和常見弱點

盡管 Linux 以其安全系統(tǒng)而聞名，但它也存在一些漏洞。許多安全威脅會破壞服務器的安全和數據。

讓我們詳細了解最常見的威脅和弱點列表：

惡意軟件– 指故意設計用于損害計算機及其操作系統(tǒng)的侵入式軟件。它有多種形式，包括特洛伊木馬、勒索軟件、病毒和間諜軟件。 嗅探攻擊——當黑客使用數據包嗅探器攔截并從網絡中提取數據時發(fā)生。 蠻力攻擊——一種黑客方法，涉及攻擊者使用反復試驗來猜測登錄憑據。 SQL 注入——當黑客利用 Web 應用程序中的代碼獲取對服務器數據庫的訪問權限時發(fā)生。 跨站點腳本 (XSS)?– 一種客戶端攻擊，在此期間黑客將惡意代碼注入網站。 沒有功能級別的控制——服務器可能會通過不正確驗證訪問權限，給一般用戶 root 權限來導致它。 損壞的身份驗證——身份盜竊通常是由于未加密的數據、弱密碼或設置不當的應用程序會話超時而發(fā)生的。

在實施任何安全措施之前，讓自己了解應該監(jiān)控的元素。這里是其中的一些：

VPS 主機安全 服務器軟件 SSH連接 根訪問和登錄 密碼和憑據 防火墻 FTP連接 用戶權利和特權 服務器日志 保護服務器安全的 15 個 VPS 安全提示

本節(jié)包含 15 個保護VPS 主機的安全提示。

1.研究您的虛擬主機安全性

您選擇的托管服務提供商需要擁有強大的安全基礎設施并提供額外的保護以確保您的服務器安全。在 Hostinger，我們提供高級安全模塊來保護我們的 VPS，例如 mod_security、防火墻、Suhosin PHP 加固和 PHP open_basedir 保護。

此外，Hostinger 利用 BitNinja 的全棧服務器保護和內置的高級 DDoS 緩解措施來增強 VPS 的總體安全性。對于共享托管服務器，我們提供 Monarx 反惡意軟件。

此外，Hostinger 提供自動定期備份和實時快照，您可以使用它們在網站出現故障時立即恢復您的網站。

2.更改默認SSH端口

如果您仍然使用端口 22 通過 SSH 連接訪問您的虛擬服務器，則很可能會發(fā)生黑客攻擊。這是因為攻擊者可以掃描開放的端口來執(zhí)行暴力攻擊并獲得對服務器的遠程訪問。

我們建議為 SSH 使用不同的端口以保護您的數據免受網絡攻擊。

以下是更改 SSH 端口的方法：

打開終端并登錄 SSH。 通過運行以下命令來編輯服務配置文件： nano /etc/ssh/sshd_config 找到讀取端口 22的行。 將22替換為新端口號并刪除#。

保存更改并退出。 通過插入以下命令并按Enter重新啟動服務： 對于 Debian 和 Ubuntu 服務 ssh 重啟 對于 CentOS 和紅帽企業(yè) Linux (RHEL) systemctl 重啟 sshd.service 最后，嘗試使用新端口登錄 SSH。 3.禁用根登錄

每個 Linux VPS 都有一個 root 用戶，與系統(tǒng)的其他用戶相比，它擁有最多的權限。網絡罪犯可能會以他們?yōu)槟繕艘垣@得對服務器的完全訪問權限。

因此，禁用 root 用戶登錄以保護您的服務器免受暴力攻擊至關重要。我們還建議創(chuàng)建一個具有執(zhí)行根級命令權限的備用用戶名。

請按照以下步驟禁用 root 登錄：

打開終端并登錄到您的 SSH 帳戶。 要打開和編輯配置文件，請使用 nano 或 vi 運行以下命令： nano /etc/ssh/sshd_config 找到以下參數并將其更改為no： PermitRootLogin=否

通過運行以下命令保存更改并重新啟動 SSH 服務： 對于 Debian 和 Ubuntu 服務 ssh 重啟 對于 CentOS 和紅帽企業(yè) Linux (RHEL) systemctl 重啟 sshd.service 這將禁用根登錄。 4.使用強密碼

包含與您的身份相關的信息或簡單密碼的密碼很容易被猜到。因此，創(chuàng)建一個包含多個元素的長而強的密碼，例如大小寫字母、數字和特殊字符。這樣做可以保護您的系統(tǒng)免受暴力攻擊。

此外，不要重復使用相同的密碼。

您還可以使用NordPass或LastPass等在線工具來創(chuàng)建強密碼。兩者都提供自定義選項，例如限制密碼長度和字符的使用。

5. 開始使用 SSH 密鑰

如果您仍然使用密碼登錄您的 SSH 帳戶，您可能會成為嗅探攻擊的目標。為避免這種情況，請改用SSH 密鑰。本質上，SSH 密鑰是一種比密碼更安全的身份驗證方法。

當計算機生成這些密鑰時，它們的長度可達 4096 位，這使得它們比密碼更長、更復雜。

SSH 密鑰分為兩套——公共和私人。前者保存在服務器上，后者保存在用戶機器上。當檢測到登錄嘗試時，服務器將生成一個隨機字符串并使用公鑰對其進行加密。加密的消息只能使用關聯的私鑰解密。

以下是在 Linux 服務器上生成 SSH 密鑰的方法：

打開終端應用程序并登錄到 SSH。 要生成公鑰和私鑰，請鍵入以下命令并按Enter鍵： ssh-keygen -t rsa 出現回復后，按Enter鍵： 輸入保存密鑰的文件 (/root/.ssh/id_rsa)：

系統(tǒng)將提示您兩次填寫密碼。如果沒有，可以按兩次Enter 。 輸入密碼（沒有密碼為空）： 再次輸入相同的密碼：

您的私鑰和公鑰現已成功保存。 6. 設置內部防火墻（IP 表）

由于 HTTP 流量可以來自任何地方，因此必須對其進行過濾以確保只有信譽良好的訪問者才能訪問您的系統(tǒng)。這樣做將幫助您避免不需要的流量和 DDoS 攻擊。

Linux 發(fā)行版附帶一個名為iptables 的內部防火墻服務。該工具使用表格監(jiān)控進出您的服務器的流量。它使用稱為鏈的規(guī)則來過濾傳入和傳出的數據包。

使用它，您可以根據需要調整防火墻限制。以下是如何在 Ubuntu 上安裝和檢查 iptables 的當前配置：

打開終端并登錄 SSH。 通過運行以下命令安裝 iptables： sudo apt-get 安裝 iptables

安裝完成后，輸入以下命令并回車： sudo iptables -L -v 輸出將包括詳細格式的所有規(guī)則列表。

7. 配置你的 UFW 防火墻

我們建議啟用簡單防火墻 (UFW)作為附加層來控制系統(tǒng)的入站和出站流量。它是一個旨在易于使用的 netfilter 防火墻。

UFW 充當 iptables 的前端，通常預裝在 Linux 發(fā)行版上。通常，它將拒絕所有傳入連接并允許傳出連接，從而降低潛在威脅的風險。此外，您還可以根據自己的喜好對防火墻進行修改和添加規(guī)則。

以下是在 Ubuntu 上啟用它的方法：

打開終端并通過 SSH 連接。 鍵入以下命令以啟用 UFW 并按Enter鍵： sudo ufw 啟用 如果回復指出未找到該命令，請使用此命令安裝防火墻： sudo apt-get 安裝 ufw

安裝完成后，運行第二步中的命令以啟用 UFW。

使用以下命令驗證防火墻狀態(tài)： sudo ufw 狀態(tài)

8. 使用 SFTP 而不是 FTP

雖然 FTP 連接未啟用加密，但 FTP over TLS (FTPS) 僅加密憑據而不加密文件傳輸。

因此，同時使用這兩種連接可能會使您的數據面臨風險。黑客可以輕松地執(zhí)行嗅探攻擊來竊取您的登錄憑據并攔截文件傳輸。

為避免這種情況，請改用 FTP over SSH 或SFTP。這是一個安全的 FTP 連接，因為它完全加密所有數據，包括正在傳輸的憑證和文件。此外，SFTP 保護用戶免受中間人攻擊，因為客戶端在獲得對系統(tǒng)的訪問權限之前需要由服務器進行身份驗證。

按照以下步驟設置 SFTP 連接：

打開終端并登錄 SSH。 通過輸入此命令并按Enter啟動 SFTP 連接： sftp 用戶@server_ip 地址

或者

sftp user@remotehost_domainname 如果您使用的是自定義端口，請運行以下命令： sftp -oPort=customport user@server_ipaddress

或者

sftp -oPort=customport user@remotehost_domainname 連接后，將出現 SFTP 提示。

9. 設置 Fail2Ban

Fail2Ban是一款監(jiān)控系統(tǒng)日志并在多次登錄失敗后阻止黑客的軟件。此外，它還保護服務器免受 DoS、DDoS、字典和暴力攻擊。Fail2Ban 使用 iptables 和 firewalld 來禁止 IP 地址。

請按照以下步驟在 Ubuntu 上設置 Fail2Ban 軟件包：

打開終端并啟動 SSH 連接。 通過輸入以下命令并按Enter安裝 Fail2Ban 軟件包： sudo apt-get 安裝 fail2ban 將出現以下輸出。鍵入Y并按Enter。 你想繼續(xù)嗎？[是/否] 是

安裝完成后，通過運行以下命令驗證狀態(tài)： 須藤 systemctl 狀態(tài) fail2ban Fail2Ban 軟件應該處于活動狀態(tài)并正在運行。

10. 安裝殺毒軟件

除了設置防火墻來過濾傳入流量外，還可以考慮監(jiān)控存儲在 VPS 上的文件。由于 Linux 無法天生免疫病毒攻擊，網絡威脅可能會以您的服務器為目標并損壞您的數據。

因此，安裝防病毒軟件作為一種安全加固措施至關重要。有許多可用選項，但最著名的是ClamAV。它是開源的，用于檢測可疑活動和隔離不需要的文件。

按照以下說明在 CentOS 上安裝 ClamAV：

打開終端并登錄 SSH。 通過運行以下命令安裝 Extra Packages for Enterprise Linux (EPEL)： sudo yum -y 安裝 epel-release 完整！輸出將表明 EPEL 安裝已完成。

通過鍵入以下命令并按Enter清除所有緩存信息： sudo yum clean all

通過運行以下命令安裝 ClamAV： sudo yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd 尋找另一個完整的！行以了解安裝何時完成。

ClamAV 現在應該已啟動并正在運行。 11. 為您的 VPS 設置 VPN

如果您使用公共連接，則很有可能有人會攔截您的流量并竊取您的數據。

為避免這種情況，我們建議設置一個 VPN來對抗安全威脅。它將通過加密隧道路由您的流量并掩蓋您的實際位置，因為您的機器將使用 VPN 的 IP 地址。這也將允許您在瀏覽互聯網時保持匿名，因為您的 IP 將無法追蹤。

簡而言之，VPN 可確保您的數據安全并防止黑客攔截您的流量。它與防火墻協同工作以提供額外的 VPS 安全性。

專家提示

VPN 對于居住在基于位置限制的區(qū)域的用戶也有好處，因為它可以讓他們更改 IP 以繞過互聯網審查。

按照以下步驟在 CentOS 上安裝 OpenVPN：

打開終端并使用 SSH 連接。 在安裝 OpenVPN 之前安裝網絡工具包。運行此命令： sudo yum 安裝網絡工具 輸入以下 curl 命令以下載 OpenVPN 包并按Enter鍵： curl -O http://swupdate.openvpn.org/as/openvpn-as-2.7.3-CentOS7.x86_64.rpm

通過運行以下命令打印 SHA256 校驗和以驗證安裝： sha256sum openvpn-as-* 輸出將打印校驗和，如下所示：

將下載的二進制文件的校驗和與網站上提供的校驗和進行比較。如果匹配，您可以使用以下命令開始安裝 OpenVPN： sudo rpm --install openvpn-as-*.rpm 安裝完成后，您將獲得 Admin UI 和 Client UI 詳細信息，如下所示：

接下來，使用以下命令設置密碼： 密碼 openvpn 系統(tǒng)將提示您重新輸入新密碼。

訪問管理或客戶端 UI 以訪問以下屏幕：

輸入您剛剛設置的用戶名openvpn和密碼，然后按Sign In。 12.審查用戶權利

如果許多用戶使用您的 VPS 主機，則需要仔細考慮控制和權限的分配。為所有用戶提供 root 級別權限可能會使您的資源使用和敏感數據面臨風險。

因此，您需要設置訪問限制以防止服務器出現問題。這可以通過管理用戶并授予他們對特定文件和資源集的不同級別的權限來完成。

Linux 具有系統(tǒng)權限功能，可幫助您定義用戶權限。為此，請為具有相同權限的用戶創(chuàng)建一個組。

以下是在 Ubuntu 上管理用戶及其權限的方法：

打開終端并通過 SSH 連接。 輸入以下命令創(chuàng)建一個組，然后按Enter： sudo 添加組 my_group 接下來，通過運行以下命令創(chuàng)建一個新用戶： 添加用戶 first_user

輸出將提示您設置密碼并填寫簡歷，例如全名、房間號和電話。鍵入y并按Enter確認輸入的信息。

要將用戶添加到組，請運行以下命令。請注意，它不會產生任何輸出。 sudo usermod -a -G group1,group2 first_user

如果要授予用戶 root 訪問權限，請運行以下命令。請記住，這也不會產生任何輸出。 sudo usermod -aG sudo first_user

另一方面，如果您有一個目錄并想為其添加讀寫權限，則基本語法如下： sudo chmod -R g+w /目錄 13. 禁用 IPv6

啟用 IPv6 會暴露安全漏洞，并使您的 VPS 主機容易受到各種網絡攻擊。如果您不經常使用它，我們建議您完全禁用它。由于黑客經常通過 IPv6 發(fā)送惡意流量，因此讓該協議保持開放狀態(tài)會使您的服務器面臨許多潛在的安全漏洞。即使您沒有主動使用 IPv6，您的某些程序也可能會在其上打開偵聽套接字。因此，每當有數據包進來時，他們都會對其進行處理，包括惡意數據包。

按照以下說明在 Ubuntu 上禁用 IPv6：

打開終端并登錄 SSH。 輸入以下命令以禁用 IPv6，然后按Enter鍵： 須藤納米 /etc/sysctl.d/99-sysctl.conf 配置文件將打開。在底部添加以下行： net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1

保存并關閉文件。 接下來，運行以下命令來執(zhí)行更改： sudo sysctl -p

最后，插入以下命令并按Enter鍵。如果您看到 1，則表示已成功禁用 IPv6。 cat /proc/sys/net/ipv6/conf/all/disable_ipv6

14.監(jiān)控你的服務器日志

監(jiān)控您的服務器日志可以幫助您控制 VPS 托管發(fā)生的事情。這些日志還可用于分析和報告有關服務器當前狀態(tài)的詳細信息。

服務器日志會讓您知道服務器是否正在遭受網絡攻擊或其他安全威脅。這些漏洞修復得越早，攻擊者攔截數據的機會就越少。

Linux 系統(tǒng)上的關鍵目錄之一稱為/var/log。它存儲一組日志文件，其中包含與系統(tǒng)、內核、程序包管理器和在服務器上運行的各種應用程序相關的重要信息。

以下是在 Ubuntu 服務器上打開/var/log并檢查系統(tǒng)日志的方法：

打開終端并登錄 SSH。 運行以下命令將工作目錄更改為/var/log。請記住，這不會產生任何輸出。 cd /變量/日志 要列出所有文件，請插入以下命令并按Enter鍵： ls

要檢查系統(tǒng)日志，請輸入以下命令并按Enter鍵： 須藤貓系統(tǒng)日志

15. 讓你的應用程序保持最新

您的 VPS 使用的軟件越舊，它就越容易受到攻擊。開發(fā)人員通常會定期發(fā)布更新和安全補丁。一定要留意你的軟件的最新版本，并在它們可用時盡快安裝它們。

以下是在 Debian 或 Ubuntu 上執(zhí)行此操作的方法：

如果要更新整個包列表，請運行以下命令： sudo apt-get 更新 如果您要更新實際包，請輸入此命令并按Enter鍵： sudo apt-get 升級

按照以下步驟在 CentOS/RHEL 上執(zhí)行此操作：

要刷新包數據庫并安裝更新，請鍵入此命令并按Enter 鍵。 須藤百勝更新 要檢查是否有任何更新，請插入以下命令并按Enter鍵。 sudo yum 檢查更新

如果您在服務器上使用內容管理系統(tǒng) (CMS)，我們建議通過啟用自動更新來自動執(zhí)行此過程。此外，您還可以創(chuàng)建cron 作業(yè)，這是一種基于 Linux 的實用程序，用于安排命令或腳本在指定的時間和日期運行。

在 CentOS 或 RHEL 上安裝和運行 cron 作業(yè)的最方便的方法是使用 yum-cron。每次發(fā)布新版本時，它都會自動更新軟件。以下是在 CentOS 或 RHEL 上設置它的方法：

打開終端并通過 SSH 連接。 通過運行以下命令安裝 yum-cron： sudo yum 安裝 yum-cro

通過插入以下命令并按Enter來啟用該服務。請注意，這不會產生任何輸出。 sudo systemctl 啟用 yum-cron.service 通過鍵入以下命令并單擊Enter來啟動服務。請記住，此命令不會產生回復。 sudo systemctl 啟動 yum-cron.service 通過運行以下命令檢查服務的狀態(tài)： sudo systemctl 狀態(tài) yum-cron.service

文章名稱：Linux安全和常見弱點，保護VPS主機的安全提示
當前網址：http://www.muchs.cn/news22/318672.html

成都網站建設公司_創(chuàng)新互聯，為您提供網站收錄、做網站、、企業(yè)網站制作、網站維護、面包屑導航

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯