1. 首页
  2. IT小技能

VPS基础安全防护教程,降低被黑风险。

之前代理用VPS管理都很简陋,导致各种被菊爆,准备做点基础防护教程,大概会包含以下内容,等博主慢慢补充(你也可自行去Google):

1、ssh防爆,修改默认端口,fail2ban封堵异常IP。

2、防火墙配置,只开放使用到的端口,站内代理类一键脚本可能会关闭防火墙,这里会对应修复脚本。

3、避免web应用目录777权限,站内建站类一键脚本为了省事儿可能会777,这里会研究并修复。

4、及时更新系统及软件,修复软件漏洞。

5、异常登陆/用户/启动脚本/进程/定时任务检查。

本文原创发布于atrandys.com,任何转发不注明出处者都是小偷。

安装iptables,仅开放使用的端口

注意:一定开放SSH端口,否则,你将和VPS失联,只能通过控制面板去操作咯

首先,确认一下你的ssh端口是否为22,你登陆的时候用的端口,也有默认不是22的,用下面命令查看一下(多此一举,SSH都登陆了还不知道ssh端口是多少,也太白了)

ssh_port=$(awk '$1=="Port" {print $2}' /etc/ssh/sshd_config) && echo $ssh_port

如果没有输出默认应该就是22了,接下来安装iptables

#安装iptables
#centos
yum install iptables-services
systemctl start iptables
systemctl enable iptables

#配置iptables,注意你的ssh端口是不是22
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#保存iptables配置
#centos
service iptables save

以上配置只开放了tcp 22端口,所以如果需要开通其他端口,使用以下命令

#例如开启80端口
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

#然后保存
#centos
service iptables save

修改SSH默认端口号

首先把你准备改成的端口号在iptables放行,比如你要改成21222,那么你要把21222端口开放,上面的教程告诉你了(必须进行这一步)。

然后修改ssh的端口

vi /etc/ssh/sshd_config

找到“#Port 22”

去掉#,修改为刚刚放行的端口号

重启ssh服务

#centos
systemctl restart sshd

安装fail2ban,防SSH被爆

#安装fail2ban
#centos
yum install -y epel-release
yum --enablerepo=epel -y install fail2ban
systemctl enable fail2ban

#注意将ssh默认22端口,修改成你的端口号 修改"port=22"
cat > /etc/fail2ban/jail.local <<-EOF
[DEFAULT]
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
bantime = 18000
maxretry = 5
findtime = 300
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=22, protocol=tcp]
logpath = /var/log/secure
EOF

#重启fail2ban
service fail2ban restart

原创文章,作者:atrandys,如若转载,请注明出处:https://www.atrandys.xyz/2020/2417.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论列表(6条)

  • 马飞飞 2020年6月24日 下午8:57

    centos的各位,记得把firewall先干掉,不然重启以后iptable会和自带的防火墙产生冲突无法自启,假设你的服务商VNC正好是摆设,你就得和小鸡说拜拜去重装了

  • 妇产科 2020年5月20日 下午8:51

    请问大佬,可以出一期关于debain系统的教程吗?

  • 节达 2020年3月22日 下午8:18

    开启双重登陆应该也可以很大概率防止被黑

  • dolly 2020年3月21日 上午12:23

    我是直接封掉SSH端口,一劳永逸。

  • laotie 2020年3月19日 下午8:17

    鼓励更新教程,造福广大网友。

  • kkx 2020年3月18日 下午8:45

    支持!!!