虽然说linux 系统比windows安全性要高一些不过一些简单的安全配置也是必要的
互联网上有很多工具采用字典方式扫描套取你的管理员密码我们可以创造一些麻烦出来增加被破译的可能性一起看学习下入门级安全配置吧
第一远程管理端口
修改ssh 的登陆端口默认端口是扫描字典穷举密码他们都是从默认的开始
如果你把端口改成位数的也大大提高了他们的难度及时间
用vi命令来编辑ssh配置文件(vi命令要用到编辑和保存退出等几个简单命令如果不熟悉或者不会可以百度或者本站搜索)
vi /etc/ssh/sshd_config
找到#Port 去掉前面的#并修改为Port (此数字尽量用位数避免被占用其它端口)
然后重启sshdservice sshd restart
别忘了重启后ssh客户端也要改新端口才可以登陆
第二给root用户设置一个强悍的密码最好是位以上 字母+数字这样被字典破译的可能性就和中彩票一样难
这个一般后台可以修改如SolusVM 平台可以直接修改
如果是其它管理面板没有修改密码功能的话 也可以在ssh里面用 passwd 命令修改
输入两次即可
(当然也可以禁用root用户创建一个新用户给予root权限但老鹰认为必要性不大只要密码强大破译的可能性还是非常小的)
第三小规模防御ddos 及 cc
ddos 出现以很多年了国内机房%都有一定的防御能力(配置了硬件防火墙)攻击原理很简单就是用虚假数据包堵死你的网络不过国外IDC 大多数是不提供防御的我们只能用软件辅助可以一定程度上减轻攻击但这个和服务器硬件本身配置以及带宽还是有很大关系一般也只能防御小规模的攻击 流量大了还是会瘫痪
windows 平台有软防和修改注册表来达到这个目的linux 下软件今天介绍的是DDos deflate 和系统自带的iptables来实现具体操作如下
先确认一下 service iptables staus 服务一般默认都自带
然后开始安装
DDos deflate
chmod +x installsh
/installsh
完成安装后显示如下
安装完毕后显示如上图
安装完成后需要对文件进行配置用vi编辑器
vi /usr/local/ddos/ddosconf
这里主要是APF_BAN=修改为(使用iptables)另外EMAIL_TO=”root”可以将root修改为你的一个Email地址这样系统办掉哪个IP会有邮件提示你
##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddossh”
IGNORE_IP_LIST=”/usr/local/ddos/ignoreiplist” //IP地址白名单
CRON=”/etc/crond/ddoscron” //定时执行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed run the script with –cron
##### option so that the new frequency takes effect
FREQ= //检查时间间隔默认分钟
##### How many connections define a bad IP? Indicate that below
NO_OF_CONNECTIONS= //最大连接数超过这个数IP就会被屏蔽一般默认即可
##### APF_BAN= (Make sure your APF version is atleast )
##### APF_BAN= (Uses iptables for banning ips instead of APF)
APF_BAN= //使用APF还是iptables推荐使用iptables将APF_BAN的值改为即可
##### KILL= (Bad IPs are’nt banned good for interactive execution of script)
##### KILL= (Recommended setting)
KILL= //是否屏蔽IP默认即可
##### An email is sent to the following address when an IP is banned
##### Blank would suppress sending of mails
EMAIL_TO=admin@vpsckcom //当IP被屏蔽时给指定邮箱发送邮件推荐使用换成自己的邮箱
##### Number of seconds the banned ip should remain in blacklist
BAN_PERIOD= //禁用IP时间默认秒可根据情况调整
系统默认白名单有些问题经常会有失误所以我们最好再设定手工设置白名单并不可修改
vi /usr/local/ddos/ignoreiplist #手工设置白名单IP
chattr +i /usr/local/ddos/ignoreiplist #强制不允许修改
chattr i /usr/local/ddos/ignoreiplist #解除不允许修改
经过上述的配置基本安全配置就OK了当然liunx 平台下还有很多同类的免费防火墙不过基本上都是英文文献需要多学习练习才能实际部署
我们一路上兴致勃勃地参观,当夕阳西下时,才恋恋不舍地离开。