Linux VPS 服務(wù)器有它們的優(yōu)勢。事實(shí)上，與Windows等其他作系統(tǒng)相比，Linux VPS的安全性遠(yuǎn)高于Linux的安全模型。但他們并不完美，也絕不是刀槍不入。在這篇文章中，我們將介紹20種保護(hù)VPS并防止黑客攻擊的方法。

Linux的默認(rèn)安全性相當(dāng)不錯，甚至優(yōu)于大多數(shù)競爭對手，但仍存在弱點(diǎn)。

我們知道唯一好的服務(wù)器是安全的服務(wù)器，因此我們整理了關(guān)于保護(hù)Linux VPS服務(wù)器的頂級建議，幫助你在黑客入侵你網(wǎng)站并獲取敏感數(shù)據(jù)之前阻止他們。

雖然徹底的安全測試無疑是保障服務(wù)器安全的最佳方式，但我們列出了一些更快捷的措施，幫助你立即加強(qiáng)服務(wù)器的防護(hù)。這些技術(shù)不需要花費(fèi)大量時(shí)間和精力，但需要一定程度的行政經(jīng)驗(yàn)。

如果你需要幫助，不要害怕聯(lián)系我們——我們很樂意提供幫助。

讓我們開始吧，以下是20種保護(hù)VPS安全的方法。

1. 禁用root登錄

想要安全的VPS？那你絕不應(yīng)該以root用戶身份登錄。

默認(rèn)情況下，每個Linux虛擬虛擬服務(wù)器的用戶名都是“root”，因此黑客會嘗試暴力破解密碼并獲取訪問權(quán)限。禁用“root”用戶名登錄可以增加另一層安全措施，防止黑客僅憑猜測你的用戶憑證。

你不需要以根用戶登錄，而是需要創(chuàng)建一個用戶名，并使用“sudo”命令來執(zhí)行根級命令。

Sudo 是一種特殊的訪問權(quán)限，可以授予授權(quán)用戶，使他們能夠運(yùn)行管理命令，并且消除了對 root 權(quán)限的需求。

確保創(chuàng)建非root用戶，并在禁用“root”賬戶前給予其相應(yīng)的授權(quán)等級。

準(zhǔn)備好后，打開 nano 或 vi 瀏覽器，找到“PermitRootLogin”參數(shù)。/etc/ssh/sshd_config

默認(rèn)情況下，這個會顯示“是”。

把它改成“否”并保存更改。

2. 更換SSH端口

當(dāng)人們找不到SSH時(shí)，很難破解它。更改SSH端口號可以防止惡意腳本直接連接到默認(rèn)端口（22）。

為此，你需要打開并調(diào)整合適的設(shè)置。/etc/ssh/sshd_config

務(wù)必確認(rèn)所選端口號是否被其他服務(wù)使用——避免沖突！

3. 保持服務(wù)器軟件更新

更新服務(wù)器軟件并不難。

你可以直接使用rpm/yum包管理器或apt-get升級到新版本的軟件、模塊和組件。

你甚至可以配置作系統(tǒng)通過電子郵件發(fā)送 yum 包更新通知。這樣很容易跟蹤變化。如果你愿意自動化這項(xiàng)任務(wù)，還可以設(shè)置一個cronjob，代你應(yīng)用所有可用的安全更新。

如果你用的是面板，比如Plesk或cPanel，那你也需要更新它。大多數(shù)面板都可以設(shè)置為自動更新，cPanel 大部分包更新都使用 EasyApache 進(jìn)行。

最后，你需要盡快安裝安全補(bǔ)丁。你拖得越久，越有可能遭遇惡意攻擊。

4. 禁用未使用的網(wǎng)絡(luò)端口

開放的網(wǎng)絡(luò)端口和未使用的網(wǎng)絡(luò)服務(wù)是黑客的易攻目標(biāo)，你需要保護(hù)自己免受攻擊。

使用“netstat”命令查看所有當(dāng)前開放的網(wǎng)絡(luò)端口及其相關(guān)服務(wù)。

可以考慮設(shè)置“iptables”來關(guān)閉所有未打開的端口，或者用“chkconfig”命令禁用不需要的服務(wù)。如果你用像CSF這樣的防火墻，甚至可以自動化iptables規(guī)則。

5. 移除不需要的模塊/包

你不太可能需要Linux發(fā)行版自帶的所有包和服務(wù)。每移除一個服務(wù)，就少了一個需要擔(dān)心的弱點(diǎn)，所以確保你只運(yùn)行你實(shí)際使用的服務(wù)。

沒有使用模塊？直接扔掉它！

此外，避免安裝不必要的軟件、軟件包和服務(wù)，以減少潛在威脅。它還能優(yōu)化服務(wù)器性能！

6. 禁用IPv6

IPv6相比IPv4有幾個優(yōu)勢，但你很可能不會使用它——很少有人在用。

不用IPv6？禁用它！

但黑客經(jīng)常使用它，他們經(jīng)常通過IPv6發(fā)送惡意流量，保持協(xié)議開放可能會暴露在潛在攻擊風(fēng)險(xiǎn)中。為解決這個問題，編輯/etc/sysconfig/網(wǎng)絡(luò)并更新設(shè)置，使其讀取IPv6=no和IPV6INIT=no NETWORKING_。

7. 使用 GnuPG 加密

黑客經(jīng)常針對數(shù)據(jù)在網(wǎng)絡(luò)傳輸時(shí)進(jìn)行攻擊。這就是為什么使用密碼、密鑰和證書加密傳輸?shù)椒?wù)器至關(guān)重要。一個流行的工具是GnuPG，這是一種基于密鑰的認(rèn)證系統(tǒng)，用于加密通信。它使用一個“公鑰”，只有“私鑰”才能解密，而私鑰僅對目標(biāo)接收者開放。

8. 制定強(qiáng)密碼政策

弱密碼一直是——也將永遠(yuǎn)是——對安全最大的威脅之一。不要允許用戶賬戶的密碼字段空，也不要使用像“123456”、“password”、“qwerty123”或“trustno1”這樣的簡單密碼。

你可以通過要求所有密碼混合大小寫、避免使用字典詞匯以及包含數(shù)字和符號來提升安全性。啟用密碼老化功能，強(qiáng)制用戶定期更改舊密碼，并考慮限制舊密碼的重復(fù)使用。

還可以使用“faillog”命令設(shè)置登錄失敗限制，并在多次嘗試失敗后鎖定用戶賬戶，以保護(hù)系統(tǒng)免受暴力破解攻擊。

9. 配置防火墻

簡單來說，如果你想要真正安全的VPS，就需要防火墻。

幸運(yùn)的是，這里有很多選擇。NetFilter 是一個集成在 Linux 內(nèi)核中的防火墻，你可以配置它來過濾不需要的流量。借助NetFilter和iptables，你可以抵御分布式拒絕服務(wù)（DDos）攻擊。

僅僅設(shè)置防火墻是不夠的。一定要確保配置正確！

TCPWrapper是另一個有用的應(yīng)用，是一種基于主機(jī)的訪問控制列表（ACL）系統(tǒng)，用于過濾不同程序的網(wǎng)絡(luò)訪問。它提供主機(jī)名驗(yàn)證、標(biāo)準(zhǔn)化日志和偽造防護(hù)，這些都能幫助增強(qiáng)你的安全性。

其他流行的防火墻包括CSF和APF，它們都為cPanel和Plesk等熱門面板提供插件。

10. 使用磁盤分區(qū)

為了提高安全性，建議對磁盤進(jìn)行分區(qū)，以避免作系統(tǒng)文件接觸用戶文件、TMP文件和第三方程序。你也可以禁用 SUID/SGID 訪問（nosuid），并禁用作系統(tǒng)分區(qū)上的二進(jìn)制文件執(zhí)行（noexec）。

11. 讓 /boot 只讀

在 Linux 服務(wù)器上，所有內(nèi)核專用文件都存儲在“/boot”目錄中。

但該目錄的默認(rèn)訪問級別是“讀寫”。為了防止啟動文件被未經(jīng)授權(quán)修改——啟動文件對服務(wù)器的順暢運(yùn)行至關(guān)重要——建議將訪問級別改為“只讀”。

操作方法是編輯 /etc/fstab 文件，并在底部添加 LABEL=/boot /boot ext2 默認(rèn)設(shè)置，RO 1 2。如果以后需要修改內(nèi)核，可以簡單地恢復(fù)到“讀寫”模式。完成后，你可以做修改，然后把它設(shè)回“只讀”。

12. 使用SFTP，而非FTP

文件傳輸協(xié)議（FTP）已經(jīng)過時(shí)且不再安全，即使使用“FTP over TLS”（FTPS）加密連接。

FTP和FTPS都仍然容易受到數(shù)據(jù)包嗅探的威脅，當(dāng)計(jì)算機(jī)程序攔截并記錄通過你網(wǎng)絡(luò)的流量時(shí)。FTP完全“暢文”，FTPS文件傳輸也是“暢文”，這意味著只有憑證被加密。

SFTP是“FTP over SSH”（也稱為“安全FTP”），它對所有數(shù)據(jù)進(jìn)行完全加密——包括憑據(jù)和正在傳輸?shù)奈募Ｔ?/span>EuroVPS，我們只支持SFTP。

13. 使用防火墻

你的防火墻是守門人，決定允許或拒絕訪問服務(wù)器，也是你抵御黑客的第一道防線。

安裝和配置防火墻應(yīng)該是你在搭建和保護(hù)VPS或裸機(jī)服務(wù)器時(shí)首先要做的事情之一。考慮咨詢公司如Castra，他們提供威脅安全以提供額外保護(hù)。

在EuroVPS，我們所有托管計(jì)劃在首次部署VPS或?qū)Ｓ寐銠C(jī)服務(wù)器時(shí)都包含安全防護(hù)。

14. 安裝反惡意軟件/殺毒軟件

防火墻的主要職責(zé)是拒絕訪問已知惡意流量源，實(shí)際上是你的第一道防線。但沒有防火墻萬無一失，有害軟件仍可能滲透，這也是你需要進(jìn)一步保護(hù)自己的原因。

太多新手服務(wù)器管理員沒有安裝反惡意軟件軟件，這是個錯誤。最常見的原因不是懶惰，而是他們不想花錢買安全軟件。為了解決這個問題，你可以先嘗試一些殺毒軟件試用，并選擇安裝哪一個。僅靠防火墻并不總是足夠，分層的安全措施至關(guān)重要。

通常，付費(fèi)解決方案通常是最好的，因?yàn)樗麄兊氖杖雭碓丛试S他們聘請有才華的程序員和研究人員，幫助軟件保持相關(guān)性。

但如果預(yù)算有限，不妨看看一些免費(fèi)的替代方案。

ClamAV 和 Maldet 是兩個開源應(yīng)用，可以掃描你的服務(wù)器并對潛在威脅進(jìn)行評分。這就是為什么我們將這兩者作為托管托管客戶VPS安全強(qiáng)化過程的一部分安裝。

15. 開啟CMS自動更新

黑客不斷試圖尋找安全漏洞——尤其是在你網(wǎng)站的內(nèi)容管理系統(tǒng)（CMS）中。流行的CMS提供商包括Joomla、Drupal、HubSpot和WordPress，WordPress為近20%的網(wǎng)絡(luò)提供動力。

大多數(shù)CMS開發(fā)者會定期發(fā)布安全修復(fù)和新功能。

更多功能允許你自動更新CMS，確保修復(fù)在新版本發(fā)布時(shí)立即應(yīng)用。WordPress 在自動更新方面來得比較晚，如果你用的是舊網(wǎng)站，默認(rèn)可能已經(jīng)禁用了。務(wù)必檢查設(shè)置，并盡可能啟用自動更新。

請記住，你網(wǎng)站的內(nèi)容是你的責(zé)任，而不是你的主機(jī)。確保它定期更新是你的責(zé)任，定期備份也是個好主意。

16. 在白手中啟用cPHulk

除了提供防火墻功能外，cPanel還具備“cPHulk”暴力破解防護(hù)。

防火墻并非萬無一失，“好”流量如果漏網(wǎng)，可能會變成壞事。這些誤報(bào)是防火墻設(shè)置造成的，可能需要調(diào)整以提供額外的保護(hù)。

與此同時(shí)，cPHulk充當(dāng)次級防火墻，防止服務(wù)器遭受暴力破解攻擊（如反復(fù)嘗試猜密碼）。

我們經(jīng)常發(fā)現(xiàn)cPHulk先阻斷登錄功能，防火墻隨后才追上，封禁整個IP。要啟用它，你需要前往WHM安全中心，選擇cPHulk暴力破解防護(hù)。這是我們在托管VPS和專用服務(wù)器上進(jìn)行的安全強(qiáng)化過程中的又一步驟。

17. 防止匿名FTP上傳

cPanel和Plesk默認(rèn)都禁用了匿名FTP上傳，但其他設(shè)置也可以預(yù)先啟用。

允許匿名用戶通過FTP上傳是一個巨大的安全風(fēng)險(xiǎn)，因?yàn)檫@允許任何人上傳任何他們想要的內(nèi)容到你的網(wǎng)絡(luò)服務(wù)器。正如你所想，這并不推薦——這有點(diǎn)像把鑰匙交給竊賊。

要禁用匿名上傳，請編輯服務(wù)器的FTP配置設(shè)置。

18. 安裝rootkit掃描器

最危險(xiǎn)的惡意軟件之一是rootkit。

它存在于作系統(tǒng)（OS）層面，低于其他普通安全軟件，并且可以允許對服務(wù)器進(jìn)行未被發(fā)現(xiàn)的訪問。幸運(yùn)的是，你可以使用“chrootkit”這個開源工具來查明你的服務(wù)器是否被感染。但rootkit并不總是容易移除，解決這個問題的最好方法通常是重新安裝作系統(tǒng)。

19. 定期進(jìn)行備份

太多人忘記定期備份——當(dāng)出現(xiàn)問題時(shí)，他們會后悔沒有備份。無論你多么小心，無論服務(wù)器多么安全，總有可能出現(xiàn)問題。

不要冒不必要的風(fēng)險(xiǎn)，不備份，也不要指望主機(jī)來做備份。建議自己備份，即使主機(jī)提供商說是代表你備份的。把備份存到不同地方，考慮用云端，這樣備份就能隨時(shí)訪問。

20. 使用強(qiáng)密碼

強(qiáng)密碼政策絕對至關(guān)重要，因此總是值得反復(fù)執(zhí)行。密碼不佳仍然是安全的最大威脅。同樣，保護(hù)Windows服務(wù)器時(shí)也是如此！

密碼協(xié)議常被誤解。復(fù)雜性很重要，但長度同樣重要。雖然使用大寫字母、小寫字母、數(shù)字和特殊字符的混合是個好主意，但你也應(yīng)該盡可能長。

與用戶溝通，并采取措施在管理員層面保護(hù)服務(wù)器安全。cPanel和Plesk都可以配置強(qiáng)制使用強(qiáng)密碼，也可以設(shè)置密碼自動過期。

結(jié)論

網(wǎng)絡(luò)服務(wù)器基礎(chǔ)設(shè)施中的漏洞可能是災(zāi)難性的。就像在鯊魚出沒的水里游泳，身上還流血。

全球有數(shù)百萬黑客，日夜不停地挖掘你VPS中哪怕最細(xì)微的安全漏洞。保護(hù)你的VPS免受潛在威脅至關(guān)重要，因?yàn)楹诳瓦t早會來找你。

尤其是企業(yè)和電子商務(wù)網(wǎng)站，正成為潛在黑客的主要目標(biāo)。雖然大多數(shù)公司都有基本的安全措施，但這些措施往往無效且容易被攻破。