雖然說linux 系統(tǒng)比windows安全性要高一些�����,不過一些簡(jiǎn)單的安全配置也是必要的。
互聯(lián)網(wǎng)上有很多工具采用字典方式掃描套取你的管理員密碼�����,我們可以創(chuàng)造一些麻煩出來,增加被破譯的可能性�����。一起看學(xué)習(xí)下入門級(jí)安全配置吧��。
第一.遠(yuǎn)程管理端口.
修改ssh 的登陸端口����,默認(rèn)端口是22.掃描字典窮舉密碼他們都是從默認(rèn)的開始.
如果你把端口改成4位數(shù)的也大大提高了他們的難度及時(shí)間.
用vi命令來編輯ssh配置文件(vi命令要用到編輯和保存退出等幾個(gè)簡(jiǎn)單命令如果不熟悉或者不會(huì)可以百度或者本站搜索):
vi /etc/ssh/sshd_config
找到#Port 22,去掉前面的#����,并修改為Port 1998(此數(shù)字盡量用4位數(shù)��,避免被占用其它端口),
然后��,重啟sshdservice sshd restart
別忘了重啟后ssh客戶端也要改新端口才可以登陸
第二.給root用戶設(shè)置一個(gè)強(qiáng)悍的密碼最好是10位以上 字母+數(shù)字這樣被字典破譯的可能性就和中彩票一樣難
這個(gè)一般后臺(tái)可以修改如SolusVM 平臺(tái)可以直接修改
如果是其它管理面板沒有修改密碼功能的話 也可以在ssh里面用 passwd 命令修改
輸入兩次即可
(當(dāng)然也可以禁用root用戶創(chuàng)建一個(gè)新用戶給予root權(quán)限但老鷹認(rèn)為必要性不大只要密碼強(qiáng)大破譯的可能性還是非常小的)
第三.小規(guī)模防御ddos 及 cc
ddos 出現(xiàn)以很多年了�,國(guó)內(nèi)機(jī)房90%都有一定的防御能力,(配置了硬件防火墻)攻擊原理很簡(jiǎn)單就是用虛假數(shù)據(jù)包堵死你的網(wǎng)絡(luò)�����,不過國(guó)外IDC 大多數(shù)是不提供防御的�����,我們只能用軟件輔助���,可以一定程度上減輕攻擊.但這個(gè)和服務(wù)器硬件本身配置以及帶寬還是有很大關(guān)系����。一般也只能防御小規(guī)模的攻擊���, 流量大了還是會(huì)癱瘓����。
windows 平臺(tái)有軟防和修改注冊(cè)表來達(dá)到這個(gè)目的��,linux 下軟件今天介紹的是DDos deflate 和系統(tǒng)自帶的iptables來,實(shí)現(xiàn)具體操作如下:
先確認(rèn)一下 service iptables staus 服務(wù)一般默認(rèn)都自帶����;
然后開始安裝;
DDos deflate
wget
chmod +x install.sh
./install.sh
完成安裝后顯示如下:
安裝完畢后顯示如上圖
安裝完成后需要對(duì)文件進(jìn)行配置用vi編輯器
vi /usr/local/ddos/ddos.conf
這里主要是APF_BAN=1修改為0(使用iptables)����,另外EMAIL_TO=”root”可以將root修改為你的一個(gè)Email地址,這樣系統(tǒng)辦掉哪個(gè)IP����,會(huì)有郵件提示你。
##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” //IP地址白名單
CRON=”/etc/cron.d/ddos.cron” //定時(shí)執(zhí)行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with –cron
##### option so that the new frequency takes effect
FREQ=1 //檢查時(shí)間間隔�����,默認(rèn)1分鐘
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 //最大連接數(shù)����,超過這個(gè)數(shù)IP就會(huì)被屏蔽,一般默認(rèn)即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=0 //使用APF還是iptables��。推薦使用iptables,將APF_BAN的值改為0即可����。
##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1 //是否屏蔽IP,默認(rèn)即可
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=admin@vpsck.com //當(dāng)IP被屏蔽時(shí)給指定郵箱發(fā)送郵件�����,推薦使用���,換成自己的郵箱
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 //禁用IP時(shí)間����,默認(rèn)600秒����,可根據(jù)情況調(diào)整
系統(tǒng)默認(rèn)白名單有些問題,經(jīng)常會(huì)有失誤����,所以,我們最好再設(shè)定手工設(shè)置白名單并不可修改�。
vi /usr/local/ddos/ignore.ip.list #手工設(shè)置白名單IP
chattr +i /usr/local/ddos/ignore.ip.list #強(qiáng)制不允許修改
chattr -i /usr/local/ddos/ignore.ip.list #解除不允許修改
經(jīng)過上述的配置基本安全配置就OK了,當(dāng)然liunx 平臺(tái)下還有很多同類的免費(fèi)防火墻不過基本上都是英文文獻(xiàn).需要多學(xué)習(xí)練習(xí)才能實(shí)際部署
