您目前的位置: 消息与通知 > 行业资讯

保护Linux vps和防止黑客攻击的方法

发布于 2022-11-24 16:39:50  来源:衡天主机  作者:衡天编辑组

                        <p>与Windows等其他操作系统相比,Linux的默认安全性非常好。但它仍然有弱点并不是无懈可击的。在这篇文章中,下面将介绍多种保护<strong>Linux vps</strong>和防止黑客攻击的方法。</p><p><br/></p><p style="text-align:center"></p><p><br/></p><p>1、禁用根登录</p><p>想要安全的Linux vps,那么不应该以root用户身份登录。默认情况下,每个Linux vps都有“root”作为用户名,因此黑客会尝试暴力攻击来破解密码并获得访问权限。禁用从“root”用户名登录会增加另一层安全性,因为它会阻止黑客简单地猜测您的用户凭据。</p><p>我们无需以root用户身份登录,而是需要创建另一个用户名并使用“sudo”命令来执行 root 级别的命令。(Sudo是一种特殊的访问权限,可以授予授权用户,以便他们可以运行管理命令,并且无需root 访问权限。)</p><p>在禁用“根”帐户之前,请务必创建我们的非根用户并为其提供适当级别的授权。准备就绪后,继续/etc/ssh/sshd_config在nano或vi中打开并找到“PermitRootLogin”参数。</p><p>默认情况下,这会说“是”。</p><p>将其更改为“否”并保存更改。</p><p><br/></p><p>2、更改SSH端口</p><p>人们很难在找不到SSH的情况下破解它,更改SSH端口号可以防止恶意脚本直接连接到默认端口(22)。为此,我们需要打开/etc/ssh/sshd_config并更改适当的设置。请务必仔细检查所选端口号是否正在被任何其他服务使用。</p><p><br/></p><p>3、保持服务器软件更新</p><p>更新服务器的软件并不困难,我们可以简单地使用rpm/yum包管理器 (CentOS/RHEL)或apt-get (Ubuntu/Debian)将已安装的软件、模块和组件升级到更新版本。</p><p>我们甚至可以将操作系统配置为通过电子邮件发送yum包更新通知,这使得跟踪正在发生的变化变得容易。而且,如果我们愿意自动执行该任务,可以设置一个cronjob来代表应用所有可用的安全更新。</p><p>如果使用的是面板,例如Plesk或cPanel,那么我们也需要更新它。大多数面板都可以设置为自动更新,cPanel使用EasyApache进行大多数包更新。</p><p><br/></p><p>4、删除不需要的模块/包</p><p>我们不太可能需要与Linux发行版捆绑在一起的所有软件包和服务。删除的每项服务都减少了一个需要担心的弱点,因此请确保我们只运行实际使用的服务。最重要的是,避免安装不必要的软件、软件包和服务,以最大程度地减少潜在威胁。它还具有简化服务器性能的受欢迎的副作用!</p><p><br/></p><p>5、禁用 IPv6</p><p>IPv6与IPv4相比有几个优点,但我们不太可能在使用它,也很少有人在使用它。但它被黑客使用,他们经常通过IPv6发送恶意流量,让协议保持开放状态可能会使我们面临潜在的攻击。要解决此问题,请编辑/etc/sysconfig/network并更新设置,以便它们读取NETWORKING_IPV6=no和IPV6INIT=no。</p><p><br/></p><p>6、使用GnuPG加密</p><p>黑客通常会在数据通过网络传输时将其作为目标。这就是为什么使用密码、密钥和证书对传输到服务器的数据进行加密至关重要的原因。一种流行的工具是GnuPG,这是一种基于密钥的身份验证系统,用于加密通信。它使用的“公钥”只能通过“私钥”解密,而“私钥”仅供预期接收者使用。</p><p><br/></p><p>7、拥有强大的密码政策</p><p>弱密码一直是最大的安全威胁之一,所以不允许用户帐户的密码字段为空,或使用简单的密码,如“123456”、“password”、“qwerty123”或“trustno1”。我们可以通过要求所有密码混合使用大小写来提高安全性,以避免使用字典单词并包含数字和符号。启用密码老化以强制用户定期更改旧密码,并考虑限制重复使用以前的密码。</p><p>还可以使用“faillog”命令设置登录失败限制,并在反复尝试失败后锁定用户帐户,以保护我们的系统免受暴力攻击。</p><p><br/></p><p>8、配置防火墙</p><p>简而言之,如果我们想要真正安全的Linux vps,则需要防火墙。幸运的是,有很多可供选择。NetFilter是与Linux内核集成的防火墙,我们可以配置它来过滤掉不需要的流量。借助NetFilter和iptables,可以对抗分布式拒绝服务(DDos)攻击。TCPWrapper是另一个有用的应用程序,它是一个基于主机的访问控制列表 (ACL)系统,用于过滤不同程序的网络访问。它提供主机名验证、标准化日志记录和欺骗保护,所有这些都有助于增强我们的安全性。</p><p>其他流行的防火墙包括CSF和APF,它们都为cPanel和Plesk等流行的面板提供插件。</p><p><br/></p><p>9、使用磁盘分区</p><p>为了增加安全性,最好对磁盘进行分区,使操作系统文件远离用户文件、tmp 文件和第三方程序。我们还可以禁用SUID/SGID访问 (nosuid) 并禁用操作系统分区上的二进制文件(noexec)执行。</p><p><br/></p><p>10、将/boot设置为只读</p><p>在Linux vps上,所有特定于内核的文件都存储在“/boot”目录中。</p><p>但是该目录的默认访问级别是“读写”,为防止对引导文件进行未经授权的修改,这对我们的服务器的平稳运行至关重要,将访问级别更改为“只读”是个好主意。</p><p>为此,只需编辑/etc/fstab文件并将LABEL=/boot /boot ext2 defaults, ro 1 2添加到底部。而且,如果我们将来需要对内核进行更改,可以简单地恢复到“读写”模式。然后我们可以进行更改并在完成后将其设置回“只读”。</p><p><br/></p><p>以上是保护Linux vps和防止黑客攻击的10个方法。还有更多其他方法,欢迎随时探讨!</p>                      
                    <br>