购买国际VPS后 需做的安全措施

随着近几年的“PT热”,很多人都拥有了自己的国际vps。并且也会在vps上运行许多其他服务,于是乎安全问题就成为了首先需要考虑的。因此一些基本安全防护还是需要做的:

1.禁止被ping

这么做的目的只是防止部分状况下,一些人漫无目的扫描。禁止ping有两种方式。
内核禁止ping:
编辑 /etc/sysctl.conf文件,加入
inet.ipv4.icmp_echo_ignore_all = 1

iptables禁止ping:
iptables -I INPUT -p icmp -j DROP

ipv6禁止Ping:ip6tables -I INPUT -p icmpv6 -j DROP

2.用iptables忽略一些无效网络请求

如果你的VPS上放了一些有特殊用途的服务,那么这个是需要做的。
iptables -I INPUT -p tcp –tcp-flags ALL FIN,RST -j DROP

iptables -I INPUT -p tcp –tcp-flags ALL FIN,PSH -j DROP

3.修改ssh端口为非22端口

这么做的目的也是为了防止一些人漫无目的的扫描,并且也能防止漫无目的的ssh密码爆破。
修改方式很简单,只需要用root用户登录VPS,编辑 /etc/sshd_config中的 “port 22”变为其他值就行。

4.安装fail2ban (可选)

fail2ban是一种入侵防护工具。通常与iptables补充使用最佳。

5.关闭特定服务的对外开放端口

一般vps用来放网站肯定少不了需要安装mysql,由于通常mysql和web服务器都是在同一主机,不需要经过外部网络连接,所以可以通过iptables禁止3306端口连入。其他不必要开放端口的服务同理。

iptables -I INPUT -p tcp –dport 3306 -j DROP

6.严格控制linux文件权限

这么做的意义是可以减少被入侵的概率或者减少被入侵后损失的风险。
对于文件类目录,一般给予的权限应是644而不是755,对于应用程序配置文件而言,一经建立后不需要再次改动的,应使用root用户施加chattr权限。

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注