因為Linux的安全性、性能和效率相對Win系統的VPS高,越來越多的站長使用Linux的VPS,使用LNMP環境搭建WordPress網站,但是很多站長往往忽視了一些基礎的安全問題,導致網站遭受攻擊。/ n& e3 A: T: Z1 a8 Z* x
主机被尝试暴力破解登陆
0 C+ F6 a9 i T 最常見的類型是主機被嘗試暴力破解登陸密碼,站長朋友們寫文章,搞外鏈接辛辛苦苦打造出一個賺美刀的平台,被破解後,hacker建帳號留後門清除登陸痕跡,日後慢慢搾乾這台VPS上每一個可以盈利的資源,到時站長們不喝酒也是要醉了。其實這樣被掃瞄+暴力破解的情況我們花上十分鐘就可以應付了,當然最主要還是要保持一定的安全意識。
# T& J8 P; h, [$ p 進入正題,暴力破解,解決的辦法可以分三步:1、禁Root 2、換端口 3、使用定期更換的長密碼(用密鑰取代密碼)7 W( x( ]- U" y5 Y& J
1、不少站長拿到初始化好了Linux VPS環境,直接使用遠程root帳號登陸,眾所周知root權限無所不能,方便是方便了,卻留下安全隱患。為了提高服務器的安全度,需要對它進行禁止,使得攻擊者無法通過暴力破解來獲取root權限。
- w! ~+ b9 q2 F# {& N1)新建一個用戶
6 W& _0 R& N" X/ u6 c& ?#useradd cnwebmasters(cnwebmasters為新建的用戶名), [ t9 x! @ ^/ }7 \% |7 F3 H' w
2)為新用戶設置密碼
0 b) G4 T4 A0 k/ U; ?7 v5 w#passwd cnwebmasters(cnwebmasters為新建的用戶名)6 c0 Y1 J- H( D% `3 O2 n. W3 q
3)修改SSHD配置,禁止root直接登錄7 f! W8 _. k% w6 Y7 e( K* [1 | L
#vi /etc/ssh/sshd_config
* y2 c, y( \& Z2 n: u查找"#PermitRootLogin yes",將前面的"#"去掉,短尾"Yes"改為"No"後:wq保存文件。( _! J" O* c4 c# }0 r( `% n. h
4)修改完畢後,重啟sshd服務
$ c9 p/ \& ?6 x- ]. A M7 O#service sshd restart* K$ i8 D/ w4 X4 o# h( s" T! g
5)下次登錄,先使用cnwebmasters登錄,然後通過su - root 來獲取root權限。/ V" m0 @; r0 R4 `2 r5 ~
% d+ b+ C0 v$ B, {
2、禁了root後還是會被嘗試登陸,沒關係,咱把SSH的端口改下,雖然更改端口無法在根本上抵禦端口掃瞄,但是,可以在一定程度上提高VPS的防禦B格。- B+ |* r3 n8 C! t' t
1)打開sshd配置文件9 H& O/ O- D' B
#vi /etc/ssh/sshd_config
0 ~/ s& ~( \! D& F/ Z9 U' h! Z' F9 n2)找到#Port 22字段刪掉#,將22改為其他不被使用的端口8 `: G% g( ?+ e' P7 C$ J! f
服務器端口最大可以開到65536,建議使用4XXXX端口
" Y0 R( @* Z! L# t8 X. @3)重啟sshd服務6 ~0 W. }6 R8 G
#service sshd restart, I- x( }, y8 D6 e9 K
4)千萬千萬要記得增加防火牆規則啊,見過不少朋友開著防火牆把自己牆在外面的 ,我也是醉了! ]5 F: z" m* H
修改iptables配置文件:vi /etc/sysconfig/iptables添加以下內容* a7 V# |! S, ?& v
-A INPUT -p tcp -m state --state NEW -m tcp --dport 49999 -j ACCEPT
G1 H# @1 {- ~$ @( s6 |保存退出:wq後重啟防火牆服務
9 F& J' Q! S& x8 {3 k- m#service iptables restart
7 k4 i4 d' O0 O- y! U4 a7 N( W4 f; S' @ t
3、最後推薦大家定期手工更新強密碼,強密碼定義是長度8位以上有大小字母寫加數字,B格高的可以使用密鑰取代密碼登陸,大家自行百度,大前提是保證你的登陸工具和電腦要乾淨。0 r& l# ]$ ~: l+ H. v' m B3 k
- j1 @3 `3 @: O4 G0 y. I5 t" b S
4、最後說下安全意識,一開始我們看到有人嘗試暴力破解我們的Linux VPS,你有沒有想過要看看到底是神馬人物對我們的小小網站感興趣,不懂你知不知道,反正我是想知道。7 F# h( _; ~: H5 w K6 `! o0 h% L5 ^
#vi /var/log/secure8 i6 \; p2 D+ Q9 P2 F2 g6 t9 w
大寫G翻到最後,看看登陸記錄
( @& U# s+ B, c: Q, V; E! X
暴力破解登陆IP
% t+ f( s* v, [2 q" Y8 G百度一下這個IP顯示江蘇省淮安市電信,本著眼不見心不煩的原則,我們把這個IP加到iptables裡
/ u: b, a9 ]+ j( X, Mvi /etc/sysconfig/iptables添加以下規則,禁止此IP訪問我們的VPS) V, {& E- G: Z a! P. o
-I INPUT -s 218.2.0.123 -j DROP' p9 S, R6 m- a- n( U5 T
& ^6 W7 p8 I% e% x) h 這下世界清靜了。。。。 ^( b1 |7 Z( W9 K
3 I4 U' Y& b1 R* i5 x 不知道大家每天花多少時間維護自己的站,抽0.5%的時間看一下安全方面的日誌,會免去很多後患。最後,在網上收集整理了一個近期進行端口掃瞄的主機列表,該怎麼辦,你懂的。
" w& i, O1 z4 ]) M' Y7 K& q( ?- ] L R. j
攻击性主机列表.rar
(52.37 KB, 下載次數: 4, 售價: 2 點點)
# M, f2 ]- C2 b/ I. j2 F6 k+ n0 @* k; j R, P+ \
i" i2 M9 d8 B. i5 C
- j( k/ Z/ N, P% S _3 ` |
發表於 2015-1-2 17:02:14
提升卡
沉默卡
变色卡
