了解如何保衛您的 Linux VPS將協助您避免不同種類網絡恐嚇和進攻。不過,這不是一次性的工作——除了利用最佳安全實踐之外,您還必要連續監控您的虛擬專用辦事器。斟酌到這一點,我們將深入研討 Linux 安全性及其常見毛病。我們還將商量 15 個 VPS 安全提示,以防範對您的虛擬辦事器進行網絡進攻。
Linux 安全性和常見毛病
盡管 Linux 以其安全體制而聞名,但它也存在一些破綻。很多安全恐嚇可能會破壞辦事器的安全性和數據。
讓我們詳細察看最常見的恐嚇和毛病列表:
- 惡意軟件——是指存心設計用于妨害算計機及其操縱體制的侵入性軟件。它有多種格式,包含有木馬、敲詐軟件、病毒和線人軟件。
- 嗅探進攻——當黑客採用數據包嗅探器攔截并從網絡中提取數據時發作。
- 蠻力進攻- 一種黑客進攻想法,涉及進攻者採用試錯法來測度登錄憑據。
- SQL 注入– 當黑客應用 Web 利用步驟中的代碼來拜訪辦事器的數據庫時,就會發作這種場合。
- 跨站劇本 (XSS) – 一種客戶端進攻,在此時期黑客將惡意代碼注入網站。
- 沒有性能級其它管理——辦事器可能會由於沒有準確驗證拜訪權限而導致它,給平凡用戶root權限。
- 地位驗證失敗- 一般由于未加密的數據、弱密鑰或建置欠妥的利用步驟會話超時而發作地位盜用。
在實施任何安全舉措之前,請讓個人了解應監控的元素。這里是此中的一些:
- VPS主機安全
- 辦事器軟件
- SSH 連結
- 根拜訪和登錄
- 密鑰和憑據
- 防火墻
- FTP 連結
- 用戶權力和特權
- 辦事器日志
保衛辦事器安全的 15 個 VPS 安全提示
本節涵蓋 15 個保衛您的VPS 主機的安全提示。
1.研討您的虛擬主機安全性
您抉擇的托管辦事提供商需求佔有強盛的安全根基設施并提供額外的保衛以確保您的辦事器安全。在 Hostinger,我們提供高等安全模塊來保衛我們的 VPS,比如 mod_security、防火墻、Suhosin PHP 加固和 PHP open_basedir 保衛。
此外,Hostinger 應用 BitNinja 的全棧辦事器保衛和內置的高等 DDoS 緩解來加強 VPS 安全性。對于共享托管辦事器,我們提供 Monarx 反惡意軟件。
此外,Hostinger 提供主動固定期限備份和即時快照,您可以採用它來當即覆原您的網站,以防網站顯露故障。
2.更換默認SSH端口
假如您仍然採用端口 22 通過 SSH 連結拜訪您的虛擬辦事器,則很有可能會發作黑客進攻。這是由於進攻者可以掃描開放端口以執行暴力進攻并牟取對辦事器的長途拜訪。
我們建議為 SSH 採用差異的端口來保衛您的數據免受網絡進攻。
以下是更換 SSH 端口的想法:
- 打開終端并登錄到 SSH。
- 通過運行以下號召編制辦事部署文件:
納米 /etc/ssh/sshd_config
- 找到讀取Port 22的行。
- 用新的端口號替代22并刪除#。
- 保留更換并退出。
- 通過插入以下號召并按Enter從頭發動辦事:
- 對于 Debian 和 Ubuntu
辦事 ssh 重啟
- 對于 CentOS 和 R百家樂 閒聊ed Hat Enterprise Linux (RHEL)
systemctl 重啟 sshd.service
- 最后,嘗試採用新端口登錄 SSH。
3.禁用根登錄
每個 Linux VPS 都有一個 root 用戶,與體制的其他用戶比擬,該用戶佔有最多的權限。網絡犯法分子可能會對準他們以牟取對辦事器的徹底拜訪權限。
因此,禁用 root 用戶登錄以保衛您的辦事器免受暴力進攻至關主要。我們還建議創造一個具有執行根級別號召權限的替換用戶名。
請依照以下程序禁用 root 登錄:
- 打開終端并登錄到您的 SSH 帳戶。
- 要打開和編制部署文件,請採用 nano 或 vi 運行以下號召:
納米 /etc/ssh/sshd_config
- 找到以下參數并將其更換為no:
PermitRootLogin=否
- 通過運行以下號召保留更換并從頭發動 SSH 辦事:
- 對于 Debian 和 Ubuntu
辦事 ssh 重啟
- 對于 CentOS 和 Red Hat Enterprise Linux (RHEL)
systemctl 重啟 sshd.service
- 這將禁用 root 登錄。
4. 採用強密鑰
涵蓋與您的地位或簡樸密鑰短語關連的信息的密鑰很輕易被猜到。因此,創造一個涵蓋多個元素的長而強的密鑰,比如大小寫字母、數字和不同凡響字符。這樣做將保衛您的體制免受暴力進攻。
此外,不要重復採用雷同的密鑰。
您還可以採用NordPass或LastPass等在線器具來創造強密鑰。兩者都提供自定義選項,比如限制密鑰長度和字符的採用。
5. 開端採用 SSH 密碼
假如您仍然採用密鑰登錄您的 SSH 帳戶,您可能會成為嗅探進攻的目的。為避免這種場合,請改用SSH 密碼。從本性上講,SSH 密碼是一種比密鑰更安全的地位驗證想法。
當算計機生成這些密碼時,它們的長度可達 46 位,這使得它們比密鑰更長、更復雜。
SSH 密碼分為兩組——公眾的和私家的。前者保留在辦事器上,而后者保留在用戶的機械上。當檢測到登錄嘗試時,辦事器將生成一個隨機字符串并採用公鑰對其進行加密。加密動靜只能採用關聯的私鑰解密。
以下是在 Linux 辦事器上生成 SSH 密碼的想法:
- 打開終端利用步驟并登錄到 SSH。
- 要生成公鑰和私鑰,請鍵入以下號召并按Enter:
ssh-keygen -t rsa
- 顯露回復后,按 Enter:
輸入保留密碼的文件 (/root/.ssh/_rsa):
- 體制將提示您填寫密鑰短語兩次。假如沒有,可以按兩次Enter 。
輸入密鑰(無密鑰為空):
再次輸入雷同的密鑰:
- 您的私鑰和公鑰此刻已勝利保留。
6. 建置內部防火墻(IP 表)
由于 HTTP 流量可以來自任何場所,因此必要對其進行過濾以確保只有具有良好名譽的拜訪者才幹拜訪您的體制。這樣做將協助您避免不用要的流量和 DDoS 進攻。
Linux 發布版附帶一個名為iptables的內部防火墻辦事。該器具採用表格監控來自和達到您的辦事器的流量。它採用稱為鏈的條例來過濾傳入和傳出的數據百家樂下三路教學包。
採用它,您可以依據需求調換防火墻限制。以下是如何在 Ubuntu 上安裝和查驗 iptables 確當前部署:
- 打開終端并登錄到 SSH。
- 通過運行以下號召安裝 iptables:
sudo apt-get install iptables
- 安裝辦妥后,輸入以下號召并回車:
sudo iptables -L -v
- 輸出將包含有詳細形式的所有條例列表。
7. 部署你的 UFW 防火墻
我們建議啟用簡樸防火墻 (UFW)作為附加層來管理體制的入站和出站流量。它是一個易于採用的 netfilter 防火墻。
UFW 擔任 iptables 的前端,一般預裝在 Linux 發布版上。一般,它將謝絕所有傳入連結并許可傳出連結,從而減低潛在恐嚇的危害。此外,您可以依據個人的愛好改動和增添防火墻條例。
以下是在 Ubuntu 上啟用它的想法:
- 打開終端并通過 SSH 連結。
- 鍵入以下號召以啟用 UFW 并按Enter:
sudo uf 啟用
- 假如回復表示找不到該號召,請採用以下號召安裝防火墻:
sudo apt-get install uf
- 安裝辦妥后,運行第二步中的號召以啟用 UFW。
- 採用以下號召驗證防火墻狀態:
須藤 uf 狀態
8. 採用 SFTP 而不是 FTP
固然 FTP 連結未啟用加密,但 FTP over TLS (FTPS) 僅加密憑據而不加密文件傳輸。
因此,同時採用這兩種連結可能會使您的數據面對危害。黑客可以輕松執行嗅探進攻以盜取您的登錄憑據并攔截文件傳輸。
為避免這種場合,請改用 FTP over SSH 或SFTP。這是一個安全的 FTP 連結,由於它徹底加密了所有數據,包含有正在傳輸的憑據和文件。此外,SFTP 可以保衛用戶免受中間人進攻,由於客戶端在拜訪體制之前需求通過辦事器的地位驗證。
請依照以下程序建置 SFTP 連結:
- 打開終端并登錄到 SSH。
- 通過輸入此號召并按Enter發動 SFTP 連結:
sftp 用戶server_ipaddress
或者
sftp 用戶remotehost_domainname
- 假如您採用的是自定義端口,請運行以下號召:
sftp -oPort=customport 用戶server_ipaddress
或者
sftp -oPort=customport 用戶remotehost_domainname
- 連結后,將顯露 SFTP 提示。
9. 建置 Fail2Ban
Fail2Ban是在多次登錄失敗后監控體制日志并阻撓黑客的軟件。此外,它還保衛辦事器免受 DoS、DDoS、字典和暴力進攻。Fail2Ban 採用 iptables 和 firealld 來制止 IP 地址。
依照以下程序在 Ubuntu 上建置 Fail2Ban 軟件包:
- 打開終端并發動 SSH 連結。
- 通過輸入以下號召并按Enter安裝 Fail2Ban 軟件包:
sudo apt-get install fail2ban
- 將顯露以下輸出。鍵入Y并按Enter。
你想繼續嗎?[是/否] 是
- 安裝辦妥后,通過運行以下號召驗證狀態:
sudo systemctl status fail2ban
- Fail2Ban 軟件應當處于事件狀態并正在運行。
10.安裝防病毒軟件
除了建置防火墻來過濾傳入流量之外,還可以斟酌監控儲備在 VPS 上的文件。由于 Linux 并非天生對病毒進攻免疫,因此網絡恐嚇可能會針對您的辦事器并破壞您的數據。
因此,安裝防病毒軟件作為安全強化實踐至關主要。有許多可用的選項,但最值得留心的是ClamAV。它是開源的,用于檢測可疑事件和隔離不需求的文件。
依照以下說明在 CentOS 上安裝 ClamAV:
- 打開終端并登錄到 SSH。
- 通過運行以下百家樂 大數據 智慧分析器號召為 Enterprise Linux (EPEL) 安裝 Extra Packages:
sudo yum -y install epel-release
- 完整!輸出將發出 EPEL 安裝辦妥的信號。
- 通過鍵入以下號召并按Enter清理所有緩存信息:
須藤百勝清除所有
- 通過運行以下號召安裝 ClamAV:
sudo yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd
- 期望另一個完整的!行知道安裝何時辦妥。
- ClamAV 此刻應當已發動并運行。
11. 為您的 VPS 建置 VPN
假如您採用公眾連結,則很有可能有人會攔截您的流量并盜取您的數據。
為避免這種場合,我們建議建置 VPN以接應安全恐嚇。它將通過加密地道路由您的流量并掩飾您的實質位置,由於您的機械將採用 VPN 的 IP 地址。這也將許可您在閱讀互聯網時維持匿名,由於您的 IP 將無法追蹤。
簡而言之,VPN 可以保衛您的數據安全并防範黑客攔截您的流量。它與防火墻攜手配合,提供額外的 VPS 安全性。
專家提示
VPN 對棲身在有基于位置限制的地域的用戶也有優點,由於它可以讓他們更換 IP 以繞過互聯網審察。
依照以下程序在 CentOS 上安裝 OpenVPN:
- 打開終端并採用 SSH 連結。
- 在安裝 OpenVPN 之前安裝 net-tools 包。運行此號召:
須藤百勝安裝網絡器具
- 輸入以下 curl 號召以下載 OpenVPN 包并按Enter:
curl -O //supdate.openvpn.org/as/openvpn-as-2.7.3-CentOS7.x86_64.rpm
- 通過運行以下號召打印 SHA256 校驗和以驗證安裝:
sha256sum openvpn-as-*
- 輸出將打印校驗和,如下所示:
- 將下載的二進制校驗和與網站上提供的校驗和進行對照。假如它們匹配,您可以採用以下號召開端安裝 OpenVPN:
sudo rpm --install openvpn-as-*.rpm
- 安裝辦妥后,您將牟取 Admin UI 和 Client UI 詳細信息,如下所示:
- 接下來,採用以下號召建置密鑰:
密鑰openvpn
- 體制將提示您從頭輸入新密鑰。
- 拜訪控制員或客戶端 UI 以拜訪以下屏幕:
- 輸入用戶名openvpn和剛才建置的密鑰,然后按Sign In。
12. 審察用戶權力
假如很多用戶採用您的 VPS 托管,則需求仔細斟酌管理權和權限的分發。為所有用戶提供根級別權限可能會使您的物質採用和敏銳數據面對危害。
因此,您需求建置拜訪限制以防範辦事器顯露疑問。這可以通過控制用戶并授予他們對特定文件和物質集的差異級其它權限來辦妥。
Linux 具有體制權限性能,可協助您定義用戶權限。為此,請為具有雷同權限的用戶創造一個組。
以下是在 Ubuntu 上控制用戶及其權限的想法:
- 打開終端并通過 SSH 連結。
- 輸入以下號召創造組,然后按Enter:
sudo addgroup my_group
- 接下來,通過運行以下號召創造一個新用戶:
adduser first_user
- 輸出將提示您建置密鑰并填寫簡歷,比如全名、房間號和手機。鍵入y并按Enter確定輸入的信息。
- 要將用戶增添到組,請運行以下號召。請留心,它不會產生任何輸出。
sudo usermod -a -G group1,group2 first_user
- 假如要授予用戶 root 拜訪權限,請運行以下號召。請銘記,這也不會產生任何輸出。
sudo usermod -aG sudo first_user
- 另一方面,假如您有一個目次并想為其增添讀寫權限,則根本語法如下:
sudo chmod -R g+ /目次
13.禁用IPv6
啟用 IPv6 會曝光安全破綻,并使您的 VPS 托管輕易受到不同種類網絡進攻。假如您沒有積極採用它,我們建議您徹底禁用它。
由于黑客常常通過 IPv6 發送惡意流量,因此讓協議維持開放可能會使您的辦事器面對很多潛在的安全破綻。縱然您沒有積極採用 IPv6,您的某些步驟也可能會在其上打開偵聽套接字。因此,每次數據包進來時,他們城市對其進行處置,包含有惡意數據包。
依照以下說明在 Ubuntu 上禁用 IPv6:
- 打開終端并登錄到 SSH。
- 鍵入以下號召以禁用 IPv6,然后按Enter:
須藤納米 /etc/sysctl.d/99-sysctl.conf
- 部署文件將打開。在底部增添以下行:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
- 保留并關閉文件。
- 接下來,運行以下號召來執行更換:
sudo sysctl -p
- 最后,插入以下號召并按Enter。假如您看到 1,則表明 IPv6 已勝利禁用。
貓 /proc/sys/net/ipv6/conf/all/disable_ipv6
14.監控你的辦事器日志
監控您的辦事器日志可以協助您管理您的 VPS 托管所發作的事務。這些日志還可用于解析和匯報,以獲取有關辦事器當前狀態的詳細信息。
辦事器日志將讓您知道辦事器是否正在忍受網絡進攻或其他安全恐嚇。這些破綻越早修復,進攻者攔截數據的時機就越少。
Linux 體制上的要害目次之一稱為/var/log。它儲備一組日志文件,此中涵蓋與體制、內核、包控制器和辦事器上運行的不同種類利用步驟關連的要害信息。
以下是如何在 Ubuntu 辦事器上打開/var/log并查驗體制日志:
- 打開終端并登錄到 SSH。
- 運行以下號召將任務目次更換為/var/log。請銘記,這不會產生任何輸出。
cd /var/log
- 要列出所有文件,請插入以下號召并按Enter:
ls
- 要查驗體制日志,請輸入以下號召并按Enter:
須藤貓體制日志
15. 使您的利用步驟維持最新
您的 VPS 採用的軟件越舊,它就越輕易受到進攻。開闢人員一般會固定期限發行除舊和安全補丁。請務必留神您的軟件的最新版本,并在它們可用時當即安裝。
以下是在 Debian 或 Ubuntu 上的操縱想法:
- 假如要除舊整個包列表,請運行以下號召:
sudo apt-get 除舊
- 假如您要除舊實質包,請輸入此號召并按Enter 鍵:
sudo apt-get 升級
請依照以下程序在 CentOS/RHEL 上執行此操縱:
- 要刷新包數據庫并安裝除舊,請鍵入此號召并按Enter。
須藤百勝除舊
- 要查驗任何除舊,請插入以下號召并按Enter。
sudo yum 查驗除舊
假如您在辦事器上採用內容控制體制 (CMS),我們建議您通過啟用主動除舊來主動執行此過程。此外,您還可以創造cron 功課,這是一個基于 Linux 的適用步驟,用于規劃號召或劇本在指定的時間和日期運行。
在 CentOS 或 RHEL 上安裝和運行 cron 功課最便捷的想法是採用 yum-cron。每次發行新版本時,它將主動除舊軟件。以下是在 CentOS 或 RHEL 上建置它的想法:
- 打開終端并通過 SSH 連結。
- 通過運行以下號召安裝 yum-cron:
sudo yum install yum百家樂高額賺錢-cro
- 通過插入以下號召并按Enter啟用該辦事。請留心,這不會產生任何輸出。
sudo systemctl 啟用 yum-cron.service
- 通過鍵入以下號召并單擊Enter來發動辦事。請銘記,此號召不會產生回復。
sudo systemctl start yum-cron.service
- 通過運行以下號召查驗辦事的狀態:
sudo systemctl status yum-cron.service
- 採用以下號召打開部署文件:
須藤 vi /etc/yum/yum-cron.conf
- 在輸出中找到以下行并將no替代為yes。保留更換并退出文件。
apply_updates = 是
結論
始終保衛和維持您的 VPS 安全極度主要,尤其是由於它儲備了您的敏銳數據和步驟百家樂 牌路。盡管 Linux 以其強盛的安全性而聞名,但它仍然存在您應當留心的破綻。常見的網絡進攻和需求留心的疑問包含有惡意軟件、嗅探和暴力進攻、SQL 注入、跨站點劇本 (XSS)、缺少性能級管理和地位驗證破壞。