了解如何保護您的 Linux VPS將幫助您避免各種網(wǎng)絡(luò )威脅和攻擊。然而，這不是一次性的任務(wù)——除了應用最佳安全實(shí)踐外，您還必須持續監控您的虛擬專(zhuān)用服務(wù)器?？紤]到這一點(diǎn)，我們將深入研究 Linux 安全及其常見(jiàn)弱點(diǎn)。我們還將討論 15 個(gè) VPS 安全提示，以防止對您的虛擬服務(wù)器進(jìn)行網(wǎng)絡(luò )攻擊。

Linux 安全和常見(jiàn)弱點(diǎn)

盡管 Linux 以其安全系統而聞名，但它也存在一些漏洞。許多安全威脅會(huì )破壞服務(wù)器的安全和數據。

讓我們詳細了解最常見(jiàn)的威脅和弱點(diǎn)列表：

• 惡意軟件– 指故意設計用于損害計算機及其操作系統的侵入式軟件。它有多種形式，包括特洛伊木馬、勒索軟件、病毒和間諜軟件。
• 嗅探攻擊——當黑客使用數據包嗅探器攔截并從網(wǎng)絡(luò )中提取數據時(shí)發(fā)生。
• 蠻力攻擊——一種黑客方法，涉及攻擊者使用反復試驗來(lái)猜測登錄憑據。
• SQL 注入——當黑客利用 Web 應用程序中的代碼獲取對服務(wù)器數據庫的訪(fǎng)問(wèn)權限時(shí)發(fā)生。
• 跨站點(diǎn)腳本 (XSS)?– 一種客戶(hù)端攻擊，在此期間黑客將惡意代碼注入網(wǎng)站。
• 沒(méi)有功能級別的控制——服務(wù)器可能會(huì )通過(guò)不正確驗證訪(fǎng)問(wèn)權限，給一般用戶(hù) root 權限來(lái)導致它。
• 損壞的身份驗證——身份盜竊通常是由于未加密的數據、弱密碼或設置不當的應用程序會(huì )話(huà)超時(shí)而發(fā)生的。

在實(shí)施任何安全措施之前，讓自己了解應該監控的元素。這里是其中的一些：

• VPS 主機安全
• 服務(wù)器軟件
• SSH連接
• 根訪(fǎng)問(wèn)和登錄
• 密碼和憑據
• 防火墻
• FTP連接
• 用戶(hù)權利和特權
• 服務(wù)器日志

保護服務(wù)器安全的 15 個(gè) VPS 安全提示

本節包含 15 個(gè)保護VPS 主機的安全提示。

1.研究您的虛擬主機安全性

您選擇的托管服務(wù)提供商需要擁有強大的安全基礎設施并提供額外的保護以確保您的服務(wù)器安全。在 Hostinger，我們提供高級安全模塊來(lái)保護我們的 VPS，例如 mod_security、防火墻、Suhosin PHP 加固和 PHP open_basedir 保護。

此外，Hostinger 利用 BitNinja 的全棧服務(wù)器保護和內置的高級 DDoS 緩解措施來(lái)增強 VPS 的總體安全性。對于共享托管服務(wù)器，我們提供 Monarx 反惡意軟件。

此外，Hostinger 提供自動(dòng)定期備份和實(shí)時(shí)快照，您可以使用它們在網(wǎng)站出現故障時(shí)立即恢復您的網(wǎng)站。

2.更改默認SSH端口

如果您仍然使用端口 22 通過(guò) SSH 連接訪(fǎng)問(wèn)您的虛擬服務(wù)器，則很可能會(huì )發(fā)生黑客攻擊。這是因為攻擊者可以?huà)呙栝_(kāi)放的端口來(lái)執行暴力攻擊并獲得對服務(wù)器的遠程訪(fǎng)問(wèn)。

我們建議為 SSH 使用不同的端口以保護您的數據免受網(wǎng)絡(luò )攻擊。

以下是更改 SSH 端口的方法：

1. 打開(kāi)終端并登錄 SSH。
2. 通過(guò)運行以下命令來(lái)編輯服務(wù)配置文件：

nano /etc/ssh/sshd_config

3. 找到讀取端口 22的行。
4. 將22替換為新端口號并刪除#。

5. 保存更改并退出。
6. 通過(guò)插入以下命令并按Enter重新啟動(dòng)服務(wù)：

• 對于 Debian 和 Ubuntu

服務(wù) ssh 重啟

• 對于 CentOS 和紅帽企業(yè) Linux (RHEL)

systemctl 重啟 sshd.service

7. 最后，嘗試使用新端口登錄 SSH。

3.禁用根登錄

每個(gè) Linux VPS 都有一個(gè) root 用戶(hù)，與系統的其他用戶(hù)相比，它擁有最多的權限。網(wǎng)絡(luò )罪犯可能會(huì )以他們?yōu)槟繕艘垣@得對服務(wù)器的完全訪(fǎng)問(wèn)權限。

因此，禁用 root 用戶(hù)登錄以保護您的服務(wù)器免受暴力攻擊至關(guān)重要。我們還建議創(chuàng )建一個(gè)具有執行根級命令權限的備用用戶(hù)名。

請按照以下步驟禁用 root 登錄：

1. 打開(kāi)終端并登錄到您的 SSH 帳戶(hù)。
2. 要打開(kāi)和編輯配置文件，請使用 nano 或 vi 運行以下命令：

nano /etc/ssh/sshd_config

3. 找到以下參數并將其更改為no：

PermitRootLogin=否

4. 通過(guò)運行以下命令保存更改并重新啟動(dòng) SSH 服務(wù)：

• 對于 Debian 和 Ubuntu

服務(wù) ssh 重啟

• 對于 CentOS 和紅帽企業(yè) Linux (RHEL)

systemctl 重啟 sshd.service

5. 這將禁用根登錄。

4.使用強密碼

包含與您的身份相關(guān)的信息或簡(jiǎn)單密碼的密碼很容易被猜到。因此，創(chuàng )建一個(gè)包含多個(gè)元素的長(cháng)而強的密碼，例如大小寫(xiě)字母、數字和特殊字符。這樣做可以保護您的系統免受暴力攻擊。

此外，不要重復使用相同的密碼。

您還可以使用NordPass或LastPass等在線(xiàn)工具來(lái)創(chuàng )建強密碼。兩者都提供自定義選項，例如限制密碼長(cháng)度和字符的使用。

5. 開(kāi)始使用 SSH 密鑰

如果您仍然使用密碼登錄您的 SSH 帳戶(hù)，您可能會(huì )成為嗅探攻擊的目標。為避免這種情況，請改用SSH 密鑰。本質(zhì)上，SSH 密鑰是一種比密碼更安全的身份驗證方法。

當計算機生成這些密鑰時(shí)，它們的長(cháng)度可達 4096 位，這使得它們比密碼更長(cháng)、更復雜。

SSH 密鑰分為兩套——公共和私人。前者保存在服務(wù)器上，后者保存在用戶(hù)機器上。當檢測到登錄嘗試時(shí)，服務(wù)器將生成一個(gè)隨機字符串并使用公鑰對其進(jìn)行加密。加密的消息只能使用關(guān)聯(lián)的私鑰解密。

以下是在 Linux 服務(wù)器上生成 SSH 密鑰的方法：

1. 打開(kāi)終端應用程序并登錄到 SSH。
2. 要生成公鑰和私鑰，請鍵入以下命令并按Enter鍵：

ssh-keygen -t rsa

3. 出現回復后，按Enter鍵：

輸入保存密鑰的文件 (/root/.ssh/id_rsa)：

4. 系統將提示您兩次填寫(xiě)密碼。如果沒(méi)有，可以按兩次Enter 。

輸入密碼（沒(méi)有密碼為空）：

再次輸入相同的密碼：

5. 您的私鑰和公鑰現已成功保存。

6. 設置內部防火墻（IP 表）

由于 HTTP 流量可以來(lái)自任何地方，因此必須對其進(jìn)行過(guò)濾以確保只有信譽(yù)良好的訪(fǎng)問(wèn)者才能訪(fǎng)問(wèn)您的系統。這樣做將幫助您避免不需要的流量和 DDoS 攻擊。

Linux 發(fā)行版附帶一個(gè)名為iptables 的內部防火墻服務(wù)。該工具使用表格監控進(jìn)出您的服務(wù)器的流量。它使用稱(chēng)為鏈的規則來(lái)過(guò)濾傳入和傳出的數據包。

使用它，您可以根據需要調整防火墻限制。以下是如何在 Ubuntu 上安裝和檢查 iptables 的當前配置：

1. 打開(kāi)終端并登錄 SSH。
2. 通過(guò)運行以下命令安裝 iptables：

sudo apt-get 安裝 iptables

3. 安裝完成后，輸入以下命令并回車(chē)：

sudo iptables -L -v

4. 輸出將包括詳細格式的所有規則列表。

7. 配置你的 UFW 防火墻

我們建議啟用簡(jiǎn)單防火墻 (UFW)作為附加層來(lái)控制系統的入站和出站流量。它是一個(gè)旨在易于使用的 netfilter 防火墻。

UFW 充當 iptables 的前端，通常預裝在 Linux 發(fā)行版上。通常，它將拒絕所有傳入連接并允許傳出連接，從而降低潛在威脅的風(fēng)險。此外，您還可以根據自己的喜好對防火墻進(jìn)行修改和添加規則。

以下是在 Ubuntu 上啟用它的方法：

1. 打開(kāi)終端并通過(guò) SSH 連接。
2. 鍵入以下命令以啟用 UFW 并按Enter鍵：

sudo ufw 啟用

3. 如果回復指出未找到該命令，請使用此命令安裝防火墻：

sudo apt-get 安裝 ufw

4. 安裝完成后，運行第二步中的命令以啟用 UFW。

5. 使用以下命令驗證防火墻狀態(tài)：

sudo ufw 狀態(tài)

8. 使用 SFTP 而不是 FTP

雖然 FTP 連接未啟用加密，但 FTP over TLS (FTPS) 僅加密憑據而不加密文件傳輸。

因此，同時(shí)使用這兩種連接可能會(huì )使您的數據面臨風(fēng)險。黑客可以輕松地執行嗅探攻擊來(lái)竊取您的登錄憑據并攔截文件傳輸。

為避免這種情況，請改用 FTP over SSH 或SFTP。這是一個(gè)安全的 FTP 連接，因為它完全加密所有數據，包括正在傳輸的憑證和文件。此外，SFTP 保護用戶(hù)免受中間人攻擊，因為客戶(hù)端在獲得對系統的訪(fǎng)問(wèn)權限之前需要由服務(wù)器進(jìn)行身份驗證。

按照以下步驟設置 SFTP 連接：

1. 打開(kāi)終端并登錄 SSH。
2. 通過(guò)輸入此命令并按Enter啟動(dòng) SFTP 連接：

sftp 用戶(hù)@server_ip 地址

或者

sftp user@remotehost_domainname

3. 如果您使用的是自定義端口，請運行以下命令：

sftp -oPort=customport user@server_ipaddress

或者

sftp -oPort=customport user@remotehost_domainname

4. 連接后，將出現 SFTP 提示。

9. 設置 Fail2Ban

Fail2Ban是一款監控系統日志并在多次登錄失敗后阻止黑客的軟件。此外，它還保護服務(wù)器免受 DoS、DDoS、字典和暴力攻擊。Fail2Ban 使用 iptables 和 firewalld 來(lái)禁止 IP 地址。

請按照以下步驟在 Ubuntu 上設置 Fail2Ban 軟件包：

1. 打開(kāi)終端并啟動(dòng) SSH 連接。
2. 通過(guò)輸入以下命令并按Enter安裝 Fail2Ban 軟件包：

sudo apt-get 安裝 fail2ban

3. 將出現以下輸出。鍵入Y并按Enter。

你想繼續嗎？[是/否] 是

4. 安裝完成后，通過(guò)運行以下命令驗證狀態(tài)：

須藤 systemctl 狀態(tài) fail2ban

5. Fail2Ban 軟件應該處于活動(dòng)狀態(tài)并正在運行。

10. 安裝殺毒軟件

除了設置防火墻來(lái)過(guò)濾傳入流量外，還可以考慮監控存儲在 VPS 上的文件。由于 Linux 無(wú)法天生免疫病毒攻擊，網(wǎng)絡(luò )威脅可能會(huì )以您的服務(wù)器為目標并損壞您的數據。

因此，安裝防病毒軟件作為一種安全加固措施至關(guān)重要。有許多可用選項，但最著(zhù)名的是ClamAV。它是開(kāi)源的，用于檢測可疑活動(dòng)和隔離不需要的文件。

按照以下說(shuō)明在 CentOS 上安裝 ClamAV：

1. 打開(kāi)終端并登錄 SSH。
2. 通過(guò)運行以下命令安裝 Extra Packages for Enterprise Linux (EPEL)：

sudo yum -y 安裝 epel-release

3. 完整！輸出將表明 EPEL 安裝已完成。

4. 通過(guò)鍵入以下命令并按Enter清除所有緩存信息：

sudo yum clean all

5. 通過(guò)運行以下命令安裝 ClamAV：

sudo yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

6. 尋找另一個(gè)完整的！行以了解安裝何時(shí)完成。

7. ClamAV 現在應該已啟動(dòng)并正在運行。

11. 為您的 VPS 設置 VPN

如果您使用公共連接，則很有可能有人會(huì )攔截您的流量并竊取您的數據。

為避免這種情況，我們建議設置一個(gè) VPN來(lái)對抗安全威脅。它將通過(guò)加密隧道路由您的流量并掩蓋您的實(shí)際位置，因為您的機器將使用 VPN 的 IP 地址。這也將允許您在瀏覽互聯(lián)網(wǎng)時(shí)保持匿名，因為您的 IP 將無(wú)法追蹤。

簡(jiǎn)而言之，VPN 可確保您的數據安全并防止黑客攔截您的流量。它與防火墻協(xié)同工作以提供額外的 VPS 安全性。

按照以下步驟在 CentOS 上安裝 OpenVPN：

1. 打開(kāi)終端并使用 SSH 連接。
2. 在安裝 OpenVPN 之前安裝網(wǎng)絡(luò )工具包。運行此命令：

sudo yum 安裝網(wǎng)絡(luò )工具

3. 輸入以下 curl 命令以下載 OpenVPN 包并按Enter鍵：

curl -O http://swupdate.openvpn.org/as/openvpn-as-2.7.3-CentOS7.x86_64.rpm

4. 通過(guò)運行以下命令打印 SHA256 校驗和以驗證安裝：

sha256sum openvpn-as-*

5. 輸出將打印校驗和，如下所示：

6. 將下載的二進(jìn)制文件的校驗和與網(wǎng)站上提供的校驗和進(jìn)行比較。如果匹配，您可以使用以下命令開(kāi)始安裝 OpenVPN：

sudo rpm --install openvpn-as-*.rpm

7. 安裝完成后，您將獲得 Admin UI 和 Client UI 詳細信息，如下所示：

8. 接下來(lái)，使用以下命令設置密碼：

密碼 openvpn

9. 系統將提示您重新輸入新密碼。

10. 訪(fǎng)問(wèn)管理或客戶(hù)端 UI 以訪(fǎng)問(wèn)以下屏幕：

11. 輸入您剛剛設置的用戶(hù)名openvpn和密碼，然后按Sign In。

12.審查用戶(hù)權利

如果許多用戶(hù)使用您的 VPS 主機，則需要仔細考慮控制和權限的分配。為所有用戶(hù)提供 root 級別權限可能會(huì )使您的資源使用和敏感數據面臨風(fēng)險。

因此，您需要設置訪(fǎng)問(wèn)限制以防止服務(wù)器出現問(wèn)題。這可以通過(guò)管理用戶(hù)并授予他們對特定文件和資源集的不同級別的權限來(lái)完成。

Linux 具有系統權限功能，可幫助您定義用戶(hù)權限。為此，請為具有相同權限的用戶(hù)創(chuàng )建一個(gè)組。

以下是在 Ubuntu 上管理用戶(hù)及其權限的方法：

1. 打開(kāi)終端并通過(guò) SSH 連接。
2. 輸入以下命令創(chuàng )建一個(gè)組，然后按Enter：

sudo 添加組 my_group

3. 接下來(lái)，通過(guò)運行以下命令創(chuàng )建一個(gè)新用戶(hù)：

添加用戶(hù) first_user

4. 輸出將提示您設置密碼并填寫(xiě)簡(jiǎn)歷，例如全名、房間號和電話(huà)。鍵入y并按Enter確認輸入的信息。

5. 要將用戶(hù)添加到組，請運行以下命令。請注意，它不會(huì )產(chǎn)生任何輸出。

sudo usermod -a -G group1,group2 first_user

6. 如果要授予用戶(hù) root 訪(fǎng)問(wèn)權限，請運行以下命令。請記住，這也不會(huì )產(chǎn)生任何輸出。

sudo usermod -aG sudo first_user

7. 另一方面，如果您有一個(gè)目錄并想為其添加讀寫(xiě)權限，則基本語(yǔ)法如下：

sudo chmod -R g+w /目錄

13. 禁用 IPv6

啟用 IPv6 會(huì )暴露安全漏洞，并使您的 VPS 主機容易受到各種網(wǎng)絡(luò )攻擊。如果您不經(jīng)常使用它，我們建議您完全禁用它。由于黑客經(jīng)常通過(guò) IPv6 發(fā)送惡意流量，因此讓該協(xié)議保持開(kāi)放狀態(tài)會(huì )使您的服務(wù)器面臨許多潛在的安全漏洞。即使您沒(méi)有主動(dòng)使用 IPv6，您的某些程序也可能會(huì )在其上打開(kāi)偵聽(tīng)套接字。因此，每當有數據包進(jìn)來(lái)時(shí)，他們都會(huì )對其進(jìn)行處理，包括惡意數據包。

按照以下說(shuō)明在 Ubuntu 上禁用 IPv6：

1. 打開(kāi)終端并登錄 SSH。
2. 輸入以下命令以禁用 IPv6，然后按Enter鍵：

須藤納米 /etc/sysctl.d/99-sysctl.conf

3. 配置文件將打開(kāi)。在底部添加以下行：

net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

net.ipv6.conf.lo.disable_ipv6 = 1

4. 保存并關(guān)閉文件。
5. 接下來(lái)，運行以下命令來(lái)執行更改：

sudo sysctl -p

6. 最后，插入以下命令并按Enter鍵。如果您看到 1，則表示已成功禁用 IPv6。

cat /proc/sys/net/ipv6/conf/all/disable_ipv6

14.監控你的服務(wù)器日志

監控您的服務(wù)器日志可以幫助您控制 VPS 托管發(fā)生的事情。這些日志還可用于分析和報告有關(guān)服務(wù)器當前狀態(tài)的詳細信息。

服務(wù)器日志會(huì )讓您知道服務(wù)器是否正在遭受網(wǎng)絡(luò )攻擊或其他安全威脅。這些漏洞修復得越早，攻擊者攔截數據的機會(huì )就越少。

Linux 系統上的關(guān)鍵目錄之一稱(chēng)為/var/log。它存儲一組日志文件，其中包含與系統、內核、程序包管理器和在服務(wù)器上運行的各種應用程序相關(guān)的重要信息。

以下是在 Ubuntu 服務(wù)器上打開(kāi)/var/log并檢查系統日志的方法：

1. 打開(kāi)終端并登錄 SSH。
2. 運行以下命令將工作目錄更改為/var/log。請記住，這不會(huì )產(chǎn)生任何輸出。

cd /變量/日志

3. 要列出所有文件，請插入以下命令并按Enter鍵：

ls

4. 要檢查系統日志，請輸入以下命令并按Enter鍵：

須藤貓系統日志

15. 讓你的應用程序保持最新

您的 VPS 使用的軟件越舊，它就越容易受到攻擊。開(kāi)發(fā)人員通常會(huì )定期發(fā)布更新和安全補丁。一定要留意你的軟件的最新版本，并在它們可用時(shí)盡快安裝它們。

以下是在 Debian 或 Ubuntu 上執行此操作的方法：

• 如果要更新整個(gè)包列表，請運行以下命令：

sudo apt-get 更新

• 如果您要更新實(shí)際包，請輸入此命令并按Enter鍵：

sudo apt-get 升級

按照以下步驟在 CentOS/RHEL 上執行此操作：

• 要刷新包數據庫并安裝更新，請鍵入此命令并按Enter 鍵。

須藤百勝更新

• 要檢查是否有任何更新，請插入以下命令并按Enter鍵。

sudo yum 檢查更新

如果您在服務(wù)器上使用內容管理系統 (CMS)，我們建議通過(guò)啟用自動(dòng)更新來(lái)自動(dòng)執行此過(guò)程。此外，您還可以創(chuàng )建cron 作業(yè)，這是一種基于 Linux 的實(shí)用程序，用于安排命令或腳本在指定的時(shí)間和日期運行。

在 CentOS 或 RHEL 上安裝和運行 cron 作業(yè)的最方便的方法是使用 yum-cron。每次發(fā)布新版本時(shí)，它都會(huì )自動(dòng)更新軟件。以下是在 CentOS 或 RHEL 上設置它的方法：

1. 打開(kāi)終端并通過(guò) SSH 連接。
2. 通過(guò)運行以下命令安裝 yum-cron：

sudo yum 安裝 yum-cro

3. 通過(guò)插入以下命令并按Enter來(lái)啟用該服務(wù)。請注意，這不會(huì )產(chǎn)生任何輸出。

sudo systemctl 啟用 yum-cron.service

4. 通過(guò)鍵入以下命令并單擊Enter來(lái)啟動(dòng)服務(wù)。請記住，此命令不會(huì )產(chǎn)生回復。

sudo systemctl 啟動(dòng) yum-cron.service

5. 通過(guò)運行以下命令檢查服務(wù)的狀態(tài)：

sudo systemctl 狀態(tài) yum-cron.service

6. 使用以下命令打開(kāi)配置文件：

sudo vi /etc/yum/yum-cron.conf

7. 在輸出中找到以下行并將no替換為yes。保存更改并退出文件。

apply_updates = 是

結論

始終保護和保持您的 VPS 安全非常重要，尤其是因為它存儲了您的敏感數據和程序。盡管 Linux 以其強大的安全性而聞名，但它仍然存在您應該注意的漏洞。常見(jiàn)的網(wǎng)絡(luò )攻擊和需要注意的問(wèn)題包括惡意軟件、嗅探和暴力攻擊、SQL 注入、跨站點(diǎn)腳本 (XSS)、缺少功能級控制和身份驗證失敗。