【學(xué)習(xí)小結(jié)】VPS 安全措施

1. 配置SSH安全訪問密鑰,關(guān)閉密碼登錄

a.參考SecureCRT密鑰連接Linux,使用SecureCRT在本機(jī)生成公私密鑰
b.在VPS對(duì)應(yīng)的用戶目錄下,新建.ssh文件夾,并上傳公鑰,然后更名為authorized_keys,并修改權(quán)限,如下

mkdir ~/.ssh #如果當(dāng)前用戶目錄下沒有 .ssh 目錄,就先創(chuàng)建目錄
chmod 700 ~/.ssh
mv id_rsa.pub ~/.ssh
cd .ssh
mv id_rsa.pub authorized_keys
chmod 600 authorized_keys

c.關(guān)閉ssh密碼登錄

vim /etc/ssh/sshd_config
PasswordAuthentication no #此處改為no

d.【可選】添加普通用戶

useradd roubin
passwd roubin

e.【可選】禁止root登陸

vim /etc/ssh/sshd_config
PermitRootLogin no  #此處改為no

f.重啟ssh服務(wù)

service sshd restart

g.備份公私密鑰

2.更改SSH端口及設(shè)置
vim /etc/ssh/sshd_config
Port 22222  #更改默認(rèn)端口號(hào)
MaxAuthTries 5
PermitEmptyPasswords no  #不允許空密碼
service sshd reload
iptables -I INPUT -p tcp --dport 22222 -j ACCEPT #CentOS 6 中防火墻開啟對(duì)應(yīng)端口
firewall-cmd --zone=public --add-port=22222/tcp --permanent #CentOS 7 中防火墻開啟對(duì)應(yīng)端口
3.鎖定口令文件
[root@localhost /]# chattr +i /etc/passwd
[root@localhost /]# chattr +i /etc/shadow
[root@localhost /]# chattr +i /etc/group
[root@localhost /]# chattr +i /etc/gshadow
4.安裝fail2ban防止暴力破解

參考fail2ban安裝

yum install -y fail2ban
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vim /etc/fail2ban/jail.local

 [sshd]
enabled = trueport = 22222
logpath = %(sshd_log)s
backend = %(sshd_backend)s
filter = sshd
action = iptables[name=SSH, port=22222, protocol=tcp] sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath = /var/log/secure
maxretry = 3
5.啟用iptables

參考Linux上iptables防火墻的基本應(yīng)用教程

# 清除已有iptables規(guī)則
iptables -F
# 允許本地回環(huán)接口(即運(yùn)行本機(jī)訪問本機(jī))
iptables -A INPUT -i lo -j ACCEPT
# 允許已建立的或相關(guān)連的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允許所有本機(jī)向外的訪問
iptables -A OUTPUT -j ACCEPT
# 允許訪問22222(SSH)端口,以下幾條相同,分別是22222,80,443端口的訪問
iptables -A INPUT -p tcp --dport 22222 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#如果有其他端口的話,規(guī)則也類似,稍微修改上述語句就行
#允許ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#禁止其他未允許的規(guī)則訪問(注意:如果22端口未加入允許規(guī)則,SSH鏈接會(huì)直接斷開。)
iptables -A INPUT -j REJECT 
iptables -A FORWARD -j REJECT
#保存防火墻規(guī)則
service iptables save
#設(shè)置防火墻開機(jī)啟動(dòng)
chkconfig --level 345 iptables on
6.禁用ipv6
#編輯/etc/sysconfig/network添加行:
NETWORKING_IPV6=no
#修改/etc/hosts,把ipv6本地主機(jī)名解析的注釋掉(可選):

#::1 localhost localhost6 localhost6.localdomain6

#禁止系統(tǒng)加載ipv6相關(guān)模塊,創(chuàng)建modprobe關(guān)于禁用ipv6的設(shè)定文件/etc/modprobe.d/disable_ipv6.conf(名字隨便起)(RHEL6.0之后沒有/etc/modprobe.conf這個(gè)文件),內(nèi)容如下,三選其一(本次使用的第一種):
alias net-pf-10 off
options ipv6 disable=1
#禁止開機(jī)啟動(dòng)
chkconfig ip6tables off
#查看ipv6是否被禁用
lsmod | grep -i ipv6
ifconfig | grep -i inet6
7.阻止百度收錄真實(shí)位置

恩,免得上門查水表

vim /etc/hosts

0.0.0.0 api.map.baidu.com
0.0.0.0 ps.map.baidu.com
0.0.0.0 sv.map.baidu.com
0.0.0.0 offnavi.map.baidu.com
0.0.0.0 newvector.map.baidu.com
0.0.0.0 ulog.imap.baidu.com
0.0.0.0 newloc.map.n.shifen.com

:: api.map.baidu.com
:: ps.map.baidu.com
:: sv.map.baidu.com
:: offnavi.map.baidu.com
:: newvector.map.baidu.com
:: ulog.imap.baidu.com
:: newloc.map.n.shifen.com

其他參考文章:
購買了VPS之后你應(yīng)該做足的安全措施
Securing a Linux Server

轉(zhuǎn)載請(qǐng)注明出處:https://roubintech.com/post/vps-security

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理,服務(wù)發(fā)現(xiàn),斷路器,智...
    卡卡羅2017閱讀 136,688評(píng)論 19 139
  • 原文鏈接:提高Linux服務(wù)器安全歡迎訪問我的博客 雖然Linux已經(jīng)很安全了,但是如果密碼設(shè)置的不夠復(fù)雜,如果說...
    tikyle閱讀 1,371評(píng)論 4 26
  • 1、遠(yuǎn)程連接服務(wù)器 遠(yuǎn)程連接服務(wù)器對(duì)于管理員來說,是一個(gè)很有用的操作。它使得對(duì)服務(wù)器的管理更為方便。不過方便歸方便...
    Zhang21閱讀 39,794評(píng)論 0 20
  • 1 改變,是我最近不斷談及的話題,我所說的改變是指變得更好。 為什么要提這個(gè)話題呢,因?yàn)槲野l(fā)現(xiàn)“改變”的價(jià)值以及我...
    易仁永澄閱讀 838評(píng)論 1 15
  • Kafka 介紹 kafka是一個(gè)分布式的流消息處理平臺(tái),由LinkedIn開發(fā)。 使用場(chǎng)景 系統(tǒng)之間解耦 流式數(shù)...
    云煙1f3bca320ba6閱讀 896評(píng)論 0 0

友情鏈接更多精彩內(nèi)容