Linux VPS主机安全-禁止Root登录,SSH密钥授权,Fail2ban,DDoS deflate

作者: Mr.Xuan 分类: 技术交流 发布时间: 2014-12-28 02:28

Linux VPS主机安全-禁止Root登录,SSH密钥授权,Fail2ban,DDoS deflate

使用VPS主机虽然比使用虚拟主机有着非常多的好处,但是有一个最大的问题就是站长自己需要了解一定的VPS主机使用知识,尤其是在数据备份和网络方面需要给予高度的重视,否则一旦VPS主机出现崩溃或者被入侵,造成的损失将是不可估量的。

 

为了防范于未然,我们还是要提前做好Linux VPS的安全防范措施,本篇文章就来分享一下强化Linux主机安全的多种方法:为VPS增加新的用户,禁止Root用户登录;不使用密码登录,改用SSH密钥授权登录;安装Fail2ban和DDoS deflate,阻止暴力破解VPS登录密码和流量攻击。

Linux VPS主机安全-禁止Root登录,SSH密钥授权,Fail2ban,DDoS deflate

一、Linux VPS主机安全:如何及时察觉VPS有异常?

1、最直接的办法自然是查看你的VPS主机控制面板的流量统计,一定的时间内流量超出平常的几倍,肯定是有问题了。

VPS主机流量异常

2、有些小规模的攻击可能无法直接从流量异常中得知,这时我们可以使用命令:netstat -ant ,查看当前VPS的网络连接情况,单个IP地址连接数量过多肯定是有问题的。

VPS主机查看网络连接

3、使用命令:more /var/log/secure 可以查看到最近有多少次VPS登录失败的记录。

VPS主机登录失败记录

4、命令:who /var/log/wtmp 可以看到每个用户的登录次数和持续时间等信息。

VPS主机每个用户连接数

5、使用以下命令检测短时间内大量IP发起请求:

二、Linux VPS主机安全:新增用户,禁止Root登录

1、为什么要禁止Root用户登录?Root用户拥有服务器的最大控制权,一旦Root用户被攻破,入侵者基本上完全掌控了整台VPS,删除数据等将是轻而易举的事情。

VPS主机禁止root登录

2、而换用非Root用户,我们可以赋予Root部分权限给它,这样在保证了VPS正常运行的前提下,又可以在一定的程度上防范因Root用户的泄露而对主机产生的致命危害。

3、新增用户方法(把freeehao123换成你自己的用户名):

4、visudo执行后,输入“i”编辑,找到root那一行,给你的用户赋予权限。然后输入::wq 退出。

VPS主机赋予用户权限

5、使用上面的操作后,你就可以使用你的新的用户登录VPS了,使用sudo可以临时获取到Root权限,部分程序安装时需要使用root权限。

6、接下来就是禁止Root登录了,执行:sudo nano /etc/ssh/sshd_config,然后找到PermitRootLogin这一行,把Yes改成no,保存。

7、最后重启SSH服务就成功了:

三、Linux VPS主机安全:使用SSH密钥授权登录,禁用密码登录

1、SSH登录方式有账号+密码和密钥两种形式,为了阻止暴力破解VPS的账号和密码,我们可以放弃密码验证的方式,改用密钥文件验证。这样除非入侵者得到你的Key,否则无法使用密码登录的方式进入你的VPS.

VPS主机使用密钥登录

2、有关Linux使用密钥登录的详细操作方法,部落在增强VPS SSH账号安全:改端口,禁用Root,密钥登录,Denyhosts防暴力攻击已经分享过,有兴趣的朋友可以参考一下。

3、有了密钥登录VPS,我们就可以禁止用密码登录这种验证方式了,还是编辑配置:vim /etc/ssh/sshd_config,添加一行:PasswordAuthentication no,如果有了这一行,请把yes改成no,保存,重启SSH服务,生效。

四、Linux VPS主机安全:合理配置防火墙

1、合理配置Linux VPS的防火墙规则,可以在一定的程度上阻止基本攻击。首先是被动式防御—允许指定的端口被访问:22,80,21,443等。

2、主动式防御—拒绝超过一定连接数的IP,请根据自己的访问量来决定,该方法有可能会导致正常的IP也被封掉。

3、执行命令:iptables-save > /etc/iptables 或者 service iptables save 用来保存刚刚设置的iptables规则。

4、让VPS重启后iptables依然生效,使用以下命令保存:

五、Fail2ban:阻止SSH、SMTP、FTP密码扫描

1、Fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽)。

2、当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员

VPS主机安装Fail2ban

3、安装Fail2ban方法:

4、/etc/fail2ban/fail2ban.conf 是Fail2ban的配置文件,在这里你可以修改IP白名单、屏蔽时间、最大尝试次数、是否发邮件提醒等等,说明如下图:(点击放大)

Fail2ban详细说明

5、Fail2ban可以监视SSH、SMTP、FTP、pop、http等服务,这些你都可以在配置中开启它。

六、DDoS deflate:阻止小规模的DDoS攻击

1、DDoS deflate的原理是通过netstat命令找出 发出过量连接的单个IP,并使用iptables防火墙将这些IP进行拒绝。DDoS deflate也可以设置采用APF(高级防火墙)进行IP阻止。

2、DDoS deflate安装和卸载方法:

3、DDoS deflate的配置文件在/usr/local/ddos/ddos.conf,详细说明如下:(点击放大)

DDoS deflate详细说明

4、/usr/local/ddos/ignore.ip.list是白名单,如果安装了APF防火墙,则可以在配置中开启它。

七、Linux VPS主机安全小结

1、影响Linux VPS主机安全主要有两个因素:一是Linux系统本身的漏洞,另一个是VPS上的控制面板。后者出现的问题可能性更大,所以为保证VPS的安全请不要安装没有技术支持的Linux VPS主机面板。

2、Fail2ban和DDoS deflate也只能是在一定的程度上可以阻止攻击,本身也是一种消耗自身资源的防御行为,大家在使用防火墙规则封锁IP时一定要注意辨别正常的IP地址,尤其是百度Spider的IP,最好将其加入白名单。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

Captcha Code

#9 #8 #73 #72 #71 #70 #7 #69 #68 #67 #66 #65 #64 #63 #62 #61 #60 #6 #59 #58 #57 #56 #55 #54 #53 #52 #51 #50 #5 #49 #48 #47 #46 #45 #44 #43 #42 #41 #40 #4 #39 #38 #37 #36 #35 #34 #33 #32 #31 #30 #3 #29 #28 #27 #26 #25 #24 #23 #22 #21 #20 #2 #19 #18 #17 #16 #15 #14 #13 #12 #11 #10 #1