linux系统vps服务器 必要的简单安全配置

虽然说linux 系统比windows安全性要高一些,不过一些简单的安全配置也是必要的。

互联网上有很多工具采用字典方式扫描套取你的管理员密码,我们可以创造一些麻烦出来,增加被破译的可能性。一起看学习下入门级安全配置吧。

第一.远程管理端口.

修改ssh 的登陆端口,默认端口是22.扫描字典穷举密码他们都是从默认的开始.

如果你把端口改成4位数的也大大提高了他们的难度及时间.

用vi命令来编辑ssh配置文件(vi命令要用到编辑和保存退出等几个简单命令如果不熟悉或者不会可以百度或者本站搜索):

vi /etc/ssh/sshd_config



找到#Port 22,去掉前面的#,并修改为Port 1998(此数字尽量用4位数,避免被占用其它端口),

然后,重启sshdservice sshd restart

别忘了重启后ssh客户端也要改新端口才可以登陆

第二.给root用户设置一个强悍的密码最好是10位以上 字母+数字这样被字典破译的可能性就和中彩票一样难

这个一般后台可以修改如SolusVM 平台可以直接修改

如果是其它管理面板没有修改密码功能的话 也可以在ssh里面用 passwd 命令修改



输入两次即可

(当然也可以禁用root用户创建一个新用户给予root权限但老鹰认为必要性不大只要密码强大破译的可能性还是非常小的)

第三.小规模防御ddos 及 cc

ddos 出现以很多年了,国内机房90%都有一定的防御能力,(配置了硬件防火墙)攻击原理很简单就是用虚假数据包堵死你的网络,不过国外IDC 大多数是不提供防御的,我们只能用软件辅助,可以一定程度上减轻攻击.但这个和服务器硬件本身配置以及带宽还是有很大关系。一般也只能防御小规模的攻击, 流量大了还是会瘫痪。

windows 平台有软防和修改注册表来达到这个目的,linux 下软件今天介绍的是DDos deflate 和系统自带的iptables来,实现具体操作如下:

先确认一下 service iptables staus 服务一般默认都自带;

然后开始安装;

DDos deflate

wget http://www.inetbase.com/scripts/ddos/install.sh

chmod +x install.sh

./install.sh

完成安装后显示如下:



安装完毕后显示如上图

安装完成后需要对文件进行配置用vi编辑器

vi /usr/local/ddos/ddos.conf



这里主要是APF_BAN=1修改为0(使用iptables),另外EMAIL_TO=”root”可以将root修改为你的一个Email地址,这样系统办掉哪个IP,会有邮件提示你。

##### Paths of the script and other files

PROGDIR=”/usr/local/ddos”

PROG=”/usr/local/ddos/ddos.sh”

IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” //IP地址白名单

CRON=”/etc/cron.d/ddos.cron” //定时执行程序

APF=”/etc/apf/apf”

IPT=”/sbin/iptables”

##### frequency in minutes for running the script

##### Caution: Every time this setting is changed, run the script with –cron

##### option so that the new frequency takes effect

FREQ=1 //检查时间间隔,默认1分钟

##### How many connections define a bad IP? Indicate that below.

NO_OF_CONNECTIONS=150 //最大连接数,超过这个数IP就会被屏蔽,一般默认即可

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)

##### APF_BAN=0 (Uses iptables for banning ips instead of APF)

APF_BAN=0 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。

##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)

##### KILL=1 (Recommended setting)

KILL=1 //是否屏蔽IP,默认即可

##### An email is sent to the following address when an IP is banned.

##### Blank would suppress sending of mails

EMAIL_TO=admin@vpsck.com //当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱

##### Number of seconds the banned ip should remain in blacklist.

BAN_PERIOD=600 //禁用IP时间,默认600秒,可根据情况调整

系统默认白名单有些问题,经常会有失误,所以,我们最好再设定手工设置白名单并不可修改。

vi /usr/local/ddos/ignore.ip.list #手工设置白名单IP

chattr +i /usr/local/ddos/ignore.ip.list #强制不允许修改

chattr -i /usr/local/ddos/ignore.ip.list #解除不允许修改

经过上述的配置基本安全配置就OK了,当然liunx 平台下还有很多同类的免费防火墙不过基本上都是英文文献.需要多学习练习才能实际部署

文章来源:老鹰博客 http://www.vpsck.com/355.html

(0)

相关推荐

  • 远程修改Linux系统VPS服务器Root用户密码教程

    方法其实很简单,在Windows系统下用putty链接到Linux后用一个简单的命令就可以搞定。 Linux修改root密码命令 首先以root身份登陆,执行:「passwd 用户名」(用户名一般些r ...

  • Linux系统vps服务器入门级安全配置指南

    虽然说Linux 系统比Windows安全性要高一些,不过一些简单的安全配置也是必要的。 互联网上有很多工具采用字典方式扫描套取你的管理员密码,我们可以创造一些麻烦出来,增加被破译的可能性。一起看学习 ...

  • 一次Linux系统被服务器被rootkit攻击的处理思路和处理过程

    IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先 ...

  • linux系统dhcp服务器搭建步骤

    操作方法 01 客户端windows xp sp3 1.查看服务器ip地址 2.检测系统是否已安装DHCP服务,建立光盘挂载点挂载光盘 3.进入光盘并查看内容,并安装DHCP服务安装包 4.检测DHC ...

  • Linux系统计划任务crontab命令简单介绍

    Linux计划任务cron是一个定时模式,例如我们可以在系统使用最少时对系统进行备份,但是管理员不可能在半夜来到公司工作,那么就可以使用Linux计划任务cron,现在来介绍一下具体使用方法。 目前流 ...

  • Linux系统中如何查看和修改DNS配置

    DNS是指计算机域名系统,它由域名解析器和域名服务器组成,提供DNS服务的就是DNS服务器.一般运作中的域名最好有两台或以上的DNS服务器,分别称为主域名服务器和从域名服务器,其中第二个DNS服务器往 ...

  • Linux系统下动态DNS服务的详细配置教程

    Linux系统 是我们不常接触的系统,但他又有很多值得我们利用的功能,今天介绍一个在linux系统下配置动态DNS服务器 在网络管理中,对于DNS服务的管理是一项基础性的工作.随着用户规模的扩大,频繁 ...

  • 在各种Linux系统的服务器上设置时间同步的方法

    独立主机 rm -rf /etc/localtime ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime #修改时区到东8区. date -R ...

  • 修改Linux系统VPS主机的DNS的方法

    Godaddy域名更换DNS 在众多域名注册商当中,使用godaddy域名注册商的还是居多.不管如今是不是大部分支持国人的信用卡付款,但是其普通的域名优惠价格也是比较便宜,算是在可以接受的范围之内.我 ...