因為Linux的安全性、性能和效率相對Win系統的VPS高,越來越多的站長使用Linux的VPS,使用LNMP環境搭建WordPress網站,但是很多站長往往忽視了一些基礎的安全問題,導致網站遭受攻擊。. v. ?$ i3 s; R3 ]6 P, i
主机被尝试暴力破解登陆
! w" [$ G- K. S8 r9 q! X7 s
最常見的類型是主機被嘗試暴力破解登陸密碼,站長朋友們寫文章,搞外鏈接辛辛苦苦打造出一個賺美刀的平台,被破解後,hacker建帳號留後門清除登陸痕跡,日後慢慢搾乾這台VPS上每一個可以盈利的資源,到時站長們不喝酒也是要醉了。其實這樣被掃瞄+暴力破解的情況我們花上十分鐘就可以應付了,當然最主要還是要保持一定的安全意識。
% N* [- W8 g% K2 ^0 b! R 進入正題,暴力破解,解決的辦法可以分三步:1、禁Root 2、換端口 3、使用定期更換的長密碼(用密鑰取代密碼)
/ g8 J) U4 A. Q* w* M& J/ a 1、不少站長拿到初始化好了Linux VPS環境,直接使用遠程root帳號登陸,眾所周知root權限無所不能,方便是方便了,卻留下安全隱患。為了提高服務器的安全度,需要對它進行禁止,使得攻擊者無法通過暴力破解來獲取root權限。% K# A9 e, k- A& Y: Y8 y3 `
1)新建一個用戶2 c4 v1 {" {" z6 Z
#useradd cnwebmasters(cnwebmasters為新建的用戶名)
) {; l( @( X8 f( i- t2)為新用戶設置密碼4 _+ f) v, L4 E
#passwd cnwebmasters(cnwebmasters為新建的用戶名)) {9 C& @$ E4 p3 n
3)修改SSHD配置,禁止root直接登錄' r! E- {/ F x0 ?
#vi /etc/ssh/sshd_config
+ v* a( T/ G- V/ K5 S! W" D0 x) X查找"#PermitRootLogin yes",將前面的"#"去掉,短尾"Yes"改為"No"後:wq保存文件。
- A r$ L9 V: ~* E4)修改完畢後,重啟sshd服務4 C( @: ?1 G" A8 e5 u/ m5 T2 W
#service sshd restart; L8 p. {, }! B" j
5)下次登錄,先使用cnwebmasters登錄,然後通過su - root 來獲取root權限。5 @1 ]! a8 a" I; m% J0 l
# L$ ^$ t4 m, P# N& H" W
2、禁了root後還是會被嘗試登陸,沒關係,咱把SSH的端口改下,雖然更改端口無法在根本上抵禦端口掃瞄,但是,可以在一定程度上提高VPS的防禦B格。6 k4 d8 ^ i7 t+ L/ H1 e+ J8 V
1)打開sshd配置文件( p- X; H2 W% f; e& v
#vi /etc/ssh/sshd_config( x7 b; q; M4 Q' M1 c
2)找到#Port 22字段刪掉#,將22改為其他不被使用的端口: `& T) D* d, A4 W7 b
服務器端口最大可以開到65536,建議使用4XXXX端口
Q1 N6 F- [' G! S: Y3)重啟sshd服務/ }% W+ T* R( e$ N* f
#service sshd restart- _% ~$ f5 C; r. U' f
4)千萬千萬要記得增加防火牆規則啊,見過不少朋友開著防火牆把自己牆在外面的 ,我也是醉了
/ h2 K/ b! {! `) t6 x9 o6 T, d修改iptables配置文件:vi /etc/sysconfig/iptables添加以下內容& q' f3 s* B* r% H3 e" E
-A INPUT -p tcp -m state --state NEW -m tcp --dport 49999 -j ACCEPT' M J- C/ }, {" R) V
保存退出:wq後重啟防火牆服務
; C L. a& w3 E2 s$ j#service iptables restart
$ a7 f. S% t Z7 n% g4 F' \0 U% S. v& v8 b. I
3、最後推薦大家定期手工更新強密碼,強密碼定義是長度8位以上有大小字母寫加數字,B格高的可以使用密鑰取代密碼登陸,大家自行百度,大前提是保證你的登陸工具和電腦要乾淨。
& J0 y1 S- j3 T f
" F1 ]4 G, n) L3 x( [0 M 4、最後說下安全意識,一開始我們看到有人嘗試暴力破解我們的Linux VPS,你有沒有想過要看看到底是神馬人物對我們的小小網站感興趣,不懂你知不知道,反正我是想知道。 P/ ^1 V2 l4 f( {0 }4 ~. H
#vi /var/log/secure; G/ A5 u: l! E. [1 Q; w- v- b
大寫G翻到最後,看看登陸記錄, W2 o% I3 Y( o4 H6 u) |
暴力破解登陆IP
) k. f7 Q6 B5 s- K百度一下這個IP顯示江蘇省淮安市電信,本著眼不見心不煩的原則,我們把這個IP加到iptables裡
Z0 \. l3 _( pvi /etc/sysconfig/iptables添加以下規則,禁止此IP訪問我們的VPS! ^- v6 P; J# e5 M9 m* x \0 O
-I INPUT -s 218.2.0.123 -j DROP
, t# t+ |. Y8 m4 {$ g: ^8 l: w! i( z) n0 [
這下世界清靜了。。。。$ U* y& K9 T# m$ |
1 d& Z9 T4 ?% t6 m+ Z' F6 N1 a
不知道大家每天花多少時間維護自己的站,抽0.5%的時間看一下安全方面的日誌,會免去很多後患。最後,在網上收集整理了一個近期進行端口掃瞄的主機列表,該怎麼辦,你懂的。
- N- t% g" a9 I- X. ]$ S* }. V- |2 b c) H0 k# q
攻击性主机列表.rar
(52.37 KB, 下載次數: 4, 售價: 2 點點)
5 T. x& i) P r! H& z- C. e
1 x( k# X0 {& B( J1 F0 N( G( H2 I8 e, h2 l& V
, I6 W( P) d2 O |
發表於 2015-1-2 17:02:14
提升卡
沉默卡
变色卡
