了解如何保護(hù)您的 Linux VPS將幫助您避免各種網(wǎng)絡(luò)威脅和攻擊。但是，這不是一次性的任務(wù)——除了應(yīng)用最佳安全實(shí)踐之外，您還必須持續(xù)監(jiān)控您的虛擬專用服務(wù)器。考慮到這一點(diǎn)，我們將深入研究 Linux 安全性及其常見弱點(diǎn)。我們還將討論 15 個(gè) VPS 安全提示，以防止對您的虛擬服務(wù)器進(jìn)行網(wǎng)絡(luò)攻擊。

Linux 安全性和常見弱點(diǎn)

盡管 Linux 以其安全系統(tǒng)而聞名，但它也存在一些漏洞。許多安全威脅可能會(huì)損壞服務(wù)器的安全性和數(shù)據(jù)。

讓我們詳細(xì)查看最常見的威脅和弱點(diǎn)列表：

• 惡意軟件——是指故意設(shè)計(jì)用于損害計(jì)算機(jī)及其操作系統(tǒng)的侵入性軟件。它有多種形式，包括木馬、勒索軟件、病毒和間諜軟件。
• 嗅探攻擊——當(dāng)黑客使用數(shù)據(jù)包嗅探器攔截并從網(wǎng)絡(luò)中提取數(shù)據(jù)時(shí)發(fā)生。
• 蠻力攻擊- 一種黑客攻擊方法，涉及攻擊者使用試錯(cuò)法來猜測登錄憑據(jù)。
• SQL 注入– 當(dāng)黑客利用 Web 應(yīng)用程序中的代碼來訪問服務(wù)器的數(shù)據(jù)庫時(shí)，就會(huì)發(fā)生這種情況。
• 跨站腳本 (XSS)?– 一種客戶端攻擊，在此期間黑客將惡意代碼注入網(wǎng)站。
• 沒有功能級(jí)別的控制——服務(wù)器可能會(huì)因?yàn)闆]有正確驗(yàn)證訪問權(quán)限而導(dǎo)致它，給普通用戶root權(quán)限。
• 身份驗(yàn)證失敗- 通常由于未加密的數(shù)據(jù)、弱密碼或設(shè)置不當(dāng)?shù)膽?yīng)用程序會(huì)話超時(shí)而發(fā)生身份盜用。

在實(shí)施任何安全措施之前，請讓自己了解應(yīng)監(jiān)控的元素。這里是其中的一些：

• VPS主機(jī)安全
• 服務(wù)器軟件
• SSH 連接
• 根訪問和登錄
• 密碼和憑據(jù)
• 防火墻
• FTP 連接
• 用戶權(quán)利和特權(quán)
• 服務(wù)器日志

保護(hù)服務(wù)器安全的 15 個(gè) VPS 安全提示

本節(jié)包含 15 個(gè)保護(hù)您的VPS 主機(jī)的安全提示。

1.研究您的虛擬主機(jī)安全性

您選擇的托管服務(wù)提供商需要擁有強(qiáng)大的安全基礎(chǔ)設(shè)施并提供額外的保護(hù)以確保您的服務(wù)器安全。在 Hostinger，我們提供高級(jí)安全模塊來保護(hù)我們的 VPS，例如 mod_security、防火墻、Suhosin PHP 加固和 PHP open_basedir 保護(hù)。

此外，Hostinger 利用 BitNinja 的全棧服務(wù)器保護(hù)和內(nèi)置的高級(jí) DDoS 緩解來增強(qiáng) VPS 安全性。對于共享托管服務(wù)器，我們提供 Monarx 反惡意軟件。

此外，Hostinger 提供自動(dòng)定期備份和實(shí)時(shí)快照，您可以使用它來立即恢復(fù)您的網(wǎng)站，以防網(wǎng)站出現(xiàn)故障。

2.更改默認(rèn)SSH端口

如果您仍然使用端口 22 通過 SSH 連接訪問您的虛擬服務(wù)器，則很有可能會(huì)發(fā)生黑客攻擊。這是因?yàn)楣粽呖梢話呙栝_放端口以執(zhí)行暴力攻擊并獲得對服務(wù)器的遠(yuǎn)程訪問。

我們建議為 SSH 使用不同的端口來保護(hù)您的數(shù)據(jù)免受網(wǎng)絡(luò)攻擊。

以下是更改 SSH 端口的方法：

1. 打開終端并登錄到 SSH。
2. 通過運(yùn)行以下命令編輯服務(wù)配置文件：

納米 /etc/ssh/sshd_config

3. 找到讀取Port 22的行。
4. 用新的端口號(hào)替換22并刪除#。

5. 保存更改并退出。
6. 通過插入以下命令并按Enter重新啟動(dòng)服務(wù)：

• 對于 Debian 和 Ubuntu

服務(wù) ssh 重啟

• 對于 CentOS 和 Red Hat Enterprise Linux (RHEL)

systemctl 重啟 sshd.service

7. 最后，嘗試使用新端口登錄 SSH。

3.禁用根登錄

每個(gè) Linux VPS 都有一個(gè) root 用戶，與系統(tǒng)的其他用戶相比，該用戶擁有最多的權(quán)限。網(wǎng)絡(luò)犯罪分子可能會(huì)瞄準(zhǔn)他們以獲得對服務(wù)器的完全訪問權(quán)限。

因此，禁用 root 用戶登錄以保護(hù)您的服務(wù)器免受暴力攻擊至關(guān)重要。我們還建議創(chuàng)建一個(gè)具有執(zhí)行根級(jí)別命令權(quán)限的替代用戶名。

請按照以下步驟禁用 root 登錄：

1. 打開終端并登錄到您的 SSH 帳戶。
2. 要打開和編輯配置文件，請使用 nano 或 vi 運(yùn)行以下命令：

納米 /etc/ssh/sshd_config

3. 找到以下參數(shù)并將其更改為no：

PermitRootLogin=否

4. 通過運(yùn)行以下命令保存更改并重新啟動(dòng) SSH 服務(wù)：

• 對于 Debian 和 Ubuntu

服務(wù) ssh 重啟

• 對于 CentOS 和 Red Hat Enterprise Linux (RHEL)

systemctl 重啟 sshd.service

5. 這將禁用 root 登錄。

4. 使用強(qiáng)密碼

包含與您的身份或簡單密碼短語相關(guān)的信息的密碼很容易被猜到。因此，創(chuàng)建一個(gè)包含多個(gè)元素的長而強(qiáng)的密碼，例如大小寫字母、數(shù)字和特殊字符。這樣做將保護(hù)您的系統(tǒng)免受暴力攻擊。

此外，不要重復(fù)使用相同的密碼。

您還可以使用NordPass或LastPass等在線工具來創(chuàng)建強(qiáng)密碼。兩者都提供自定義選項(xiàng)，例如限制密碼長度和字符的使用。

5. 開始使用 SSH 密鑰

如果您仍然使用密碼登錄您的 SSH 帳戶，您可能會(huì)成為嗅探攻擊的目標(biāo)。為避免這種情況，請改用SSH 密鑰。從本質(zhì)上講，SSH 密鑰是一種比密碼更安全的身份驗(yàn)證方法。

當(dāng)計(jì)算機(jī)生成這些密鑰時(shí)，它們的長度可達(dá) 4096 位，這使得它們比密碼更長、更復(fù)雜。

SSH 密鑰分為兩組——公共的和私人的。前者保存在服務(wù)器上，而后者保存在用戶的機(jī)器上。當(dāng)檢測到登錄嘗試時(shí)，服務(wù)器將生成一個(gè)隨機(jī)字符串并使用公鑰對其進(jìn)行加密。加密消息只能使用關(guān)聯(lián)的私鑰解密。

以下是在 Linux 服務(wù)器上生成 SSH 密鑰的方法：

1. 打開終端應(yīng)用程序并登錄到 SSH。
2. 要生成公鑰和私鑰，請鍵入以下命令并按Enter：

ssh-keygen -t rsa

3. 出現(xiàn)回復(fù)后，按 Enter：

輸入保存密鑰的文件 (/root/.ssh/id_rsa)：

4. 系統(tǒng)將提示您填寫密碼短語兩次。如果沒有，可以按兩次Enter 。

輸入密碼（無密碼為空）：

再次輸入相同的密碼：

5. 您的私鑰和公鑰現(xiàn)在已成功保存。

6. 設(shè)置內(nèi)部防火墻（IP 表）

由于 HTTP 流量可以來自任何地方，因此必須對其進(jìn)行過濾以確保只有具有良好聲譽(yù)的訪問者才能訪問您的系統(tǒng)。這樣做將幫助您避免不必要的流量和 DDoS 攻擊。

Linux 發(fā)行版附帶一個(gè)名為iptables的內(nèi)部防火墻服務(wù)。該工具使用表格監(jiān)控來自和到達(dá)您的服務(wù)器的流量。它使用稱為鏈的規(guī)則來過濾傳入和傳出的數(shù)據(jù)包。

使用它，您可以根據(jù)需要調(diào)整防火墻限制。以下是如何在 Ubuntu 上安裝和檢查 iptables 的當(dāng)前配置：

1. 打開終端并登錄到 SSH。
2. 通過運(yùn)行以下命令安裝 iptables：

sudo apt-get install iptables

3. 安裝完成后，輸入以下命令并回車：

sudo iptables -L -v

4. 輸出將包括詳細(xì)格式的所有規(guī)則列表。

7. 配置你的 UFW 防火墻

我們建議啟用簡單防火墻 (UFW)作為附加層來控制系統(tǒng)的入站和出站流量。它是一個(gè)易于使用的 netfilter 防火墻。

UFW 充當(dāng) iptables 的前端，通常預(yù)裝在 Linux 發(fā)行版上。通常，它將拒絕所有傳入連接并允許傳出連接，從而降低潛在威脅的風(fēng)險(xiǎn)。此外，您可以根據(jù)自己的喜好修改和添加防火墻規(guī)則。

以下是在 Ubuntu 上啟用它的方法：

1. 打開終端并通過 SSH 連接。
2. 鍵入以下命令以啟用 UFW 并按Enter：

sudo ufw 啟用

3. 如果回復(fù)表明找不到該命令，請使用以下命令安裝防火墻：

sudo apt-get install ufw

4. 安裝完成后，運(yùn)行第二步中的命令以啟用 UFW。

5. 使用以下命令驗(yàn)證防火墻狀態(tài)：

須藤 ufw 狀態(tài)

8. 使用 SFTP 而不是 FTP

雖然 FTP 連接未啟用加密，但 FTP over TLS (FTPS) 僅加密憑據(jù)而不加密文件傳輸。

因此，同時(shí)使用這兩種連接可能會(huì)使您的數(shù)據(jù)面臨風(fēng)險(xiǎn)。黑客可以輕松執(zhí)行嗅探攻擊以竊取您的登錄憑據(jù)并攔截文件傳輸。

為避免這種情況，請改用 FTP over SSH 或SFTP。這是一個(gè)安全的 FTP 連接，因?yàn)樗耆用芰怂袛?shù)據(jù)，包括正在傳輸?shù)膽{據(jù)和文件。此外，SFTP 可以保護(hù)用戶免受中間人攻擊，因?yàn)榭蛻舳嗽谠L問系統(tǒng)之前需要通過服務(wù)器的身份驗(yàn)證。

請按照以下步驟設(shè)置 SFTP 連接：

1. 打開終端并登錄到 SSH。
2. 通過輸入此命令并按Enter啟動(dòng) SFTP 連接：

sftp 用戶@server_ipaddress

或者

sftp 用戶@remotehost_domainname

3. 如果您使用的是自定義端口，請運(yùn)行以下命令：

sftp -oPort=customport 用戶@server_ipaddress

或者

sftp -oPort=customport 用戶@remotehost_domainname

4. 連接后，將出現(xiàn) SFTP 提示。

9. 設(shè)置 Fail2Ban

Fail2Ban是在多次登錄失敗后監(jiān)控系統(tǒng)日志并阻止黑客的軟件。此外，它還保護(hù)服務(wù)器免受 DoS、DDoS、字典和暴力攻擊。Fail2Ban 使用 iptables 和 firewalld 來禁止 IP 地址。

按照以下步驟在 Ubuntu 上設(shè)置 Fail2Ban 軟件包：

1. 打開終端并啟動(dòng) SSH 連接。
2. 通過輸入以下命令并按Enter安裝 Fail2Ban 軟件包：

sudo apt-get install fail2ban

3. 將出現(xiàn)以下輸出。鍵入Y并按Enter。

你想繼續(xù)嗎？[是/否] 是

4. 安裝完成后，通過運(yùn)行以下命令驗(yàn)證狀態(tài)：

sudo systemctl status fail2ban

5. Fail2Ban 軟件應(yīng)該處于活動(dòng)狀態(tài)并正在運(yùn)行。

10.安裝防病毒軟件

除了設(shè)置防火墻來過濾傳入流量之外，還可以考慮監(jiān)控存儲(chǔ)在 VPS 上的文件。由于 Linux 并非天生對病毒攻擊免疫，因此網(wǎng)絡(luò)威脅可能會(huì)針對您的服務(wù)器并損壞您的數(shù)據(jù)。

因此，安裝防病毒軟件作為安全強(qiáng)化實(shí)踐至關(guān)重要。有很多可用的選項(xiàng)，但最值得注意的是ClamAV。它是開源的，用于檢測可疑活動(dòng)和隔離不需要的文件。

按照以下說明在 CentOS 上安裝 ClamAV：

1. 打開終端并登錄到 SSH。
2. 通過運(yùn)行以下命令為 Enterprise Linux (EPEL) 安裝 Extra Packages：

sudo yum -y install epel-release

3. 完整！輸出將發(fā)出 EPEL 安裝完成的信號(hào)。

4. 通過鍵入以下命令并按Enter清除所有緩存信息：

須藤百勝清理所有

5. 通過運(yùn)行以下命令安裝 ClamAV：

sudo yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

6. 期待另一個(gè)完整的！行知道安裝何時(shí)完成。

7. ClamAV 現(xiàn)在應(yīng)該已啟動(dòng)并運(yùn)行。

11. 為您的 VPS 設(shè)置 VPN

如果您使用公共連接，則很有可能有人會(huì)攔截您的流量并竊取您的數(shù)據(jù)。

為避免這種情況，我們建議設(shè)置 VPN以應(yīng)對安全威脅。它將通過加密隧道路由您的流量并掩蓋您的實(shí)際位置，因?yàn)槟臋C(jī)器將使用 VPN 的 IP 地址。這也將允許您在瀏覽互聯(lián)網(wǎng)時(shí)保持匿名，因?yàn)槟?IP 將無法追蹤。

簡而言之，VPN 可以保護(hù)您的數(shù)據(jù)安全并防止黑客攔截您的流量。它與防火墻攜手合作，提供額外的 VPS 安全性。

按照以下步驟在 CentOS 上安裝 OpenVPN：

1. 打開終端并使用 SSH 連接。
2. 在安裝 OpenVPN 之前安裝 net-tools 包。運(yùn)行此命令：

須藤百勝安裝網(wǎng)絡(luò)工具

3. 輸入以下 curl 命令以下載 OpenVPN 包并按Enter：

curl -O http://swupdate.openvpn.org/as/openvpn-as-2.7.3-CentOS7.x86_64.rpm

4. 通過運(yùn)行以下命令打印 SHA256 校驗(yàn)和以驗(yàn)證安裝：

sha256sum openvpn-as-*

5. 輸出將打印校驗(yàn)和，如下所示：

6. 將下載的二進(jìn)制校驗(yàn)和與網(wǎng)站上提供的校驗(yàn)和進(jìn)行比較。如果它們匹配，您可以使用以下命令開始安裝 OpenVPN：

sudo rpm --install openvpn-as-*.rpm

7. 安裝完成后，您將獲得 Admin UI 和 Client UI 詳細(xì)信息，如下所示：

8. 接下來，使用以下命令設(shè)置密碼：

密碼openvpn

9. 系統(tǒng)將提示您重新輸入新密碼。

10. 訪問管理員或客戶端 UI 以訪問以下屏幕：

11. 輸入用戶名openvpn和剛剛設(shè)置的密碼，然后按Sign In。

12. 審查用戶權(quán)利

如果許多用戶使用您的 VPS 托管，則需要仔細(xì)考慮控制權(quán)和權(quán)限的分配。為所有用戶提供根級(jí)別權(quán)限可能會(huì)使您的資源使用和敏感數(shù)據(jù)面臨風(fēng)險(xiǎn)。

因此，您需要設(shè)置訪問限制以防止服務(wù)器出現(xiàn)問題。這可以通過管理用戶并授予他們對特定文件和資源集的不同級(jí)別的權(quán)限來完成。

Linux 具有系統(tǒng)權(quán)限功能，可幫助您定義用戶權(quán)限。為此，請為具有相同權(quán)限的用戶創(chuàng)建一個(gè)組。

以下是在 Ubuntu 上管理用戶及其權(quán)限的方法：

1. 打開終端并通過 SSH 連接。
2. 輸入以下命令創(chuàng)建組，然后按Enter：

sudo addgroup my_group

3. 接下來，通過運(yùn)行以下命令創(chuàng)建一個(gè)新用戶：

adduser first_user

4. 輸出將提示您設(shè)置密碼并填寫簡歷，例如全名、房間號(hào)和電話。鍵入y并按Enter確認(rèn)輸入的信息。

5. 要將用戶添加到組，請運(yùn)行以下命令。請注意，它不會(huì)產(chǎn)生任何輸出。

sudo usermod -a -G group1,group2 first_user

6. 如果要授予用戶 root 訪問權(quán)限，請運(yùn)行以下命令。請記住，這也不會(huì)產(chǎn)生任何輸出。

sudo usermod -aG sudo first_user

7. 另一方面，如果您有一個(gè)目錄并想為其添加讀寫權(quán)限，則基本語法如下：

sudo chmod -R g+w /目錄

13.禁用IPv6

啟用 IPv6 會(huì)暴露安全漏洞，并使您的 VPS 托管容易受到各種網(wǎng)絡(luò)攻擊。如果您沒有積極使用它，我們建議您完全禁用它。

由于黑客經(jīng)常通過 IPv6 發(fā)送惡意流量，因此讓協(xié)議保持開放可能會(huì)使您的服務(wù)器面臨許多潛在的安全漏洞。即使您沒有積極使用 IPv6，您的某些程序也可能會(huì)在其上打開偵聽套接字。因此，每次數(shù)據(jù)包進(jìn)來時(shí)，他們都會(huì)對其進(jìn)行處理，包括惡意數(shù)據(jù)包。

按照以下說明在 Ubuntu 上禁用 IPv6：

1. 打開終端并登錄到 SSH。
2. 鍵入以下命令以禁用 IPv6，然后按Enter：

須藤納米 /etc/sysctl.d/99-sysctl.conf

3. 配置文件將打開。在底部添加以下行：

net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

net.ipv6.conf.lo.disable_ipv6 = 1

4. 保存并關(guān)閉文件。
5. 接下來，運(yùn)行以下命令來執(zhí)行更改：

sudo sysctl -p

6. 最后，插入以下命令并按Enter。如果您看到 1，則表示 IPv6 已成功禁用。

貓 /proc/sys/net/ipv6/conf/all/disable_ipv6

14.監(jiān)控你的服務(wù)器日志

監(jiān)控您的服務(wù)器日志可以幫助您控制您的 VPS 托管所發(fā)生的事情。這些日志還可用于分析和報(bào)告，以獲取有關(guān)服務(wù)器當(dāng)前狀態(tài)的詳細(xì)信息。

服務(wù)器日志將讓您知道服務(wù)器是否正在遭受網(wǎng)絡(luò)攻擊或其他安全威脅。這些漏洞越早修復(fù)，攻擊者攔截?cái)?shù)據(jù)的機(jī)會(huì)就越少。

Linux 系統(tǒng)上的關(guān)鍵目錄之一稱為/var/log。它存儲(chǔ)一組日志文件，其中包含與系統(tǒng)、內(nèi)核、包管理器和服務(wù)器上運(yùn)行的各種應(yīng)用程序相關(guān)的關(guān)鍵信息。

以下是如何在 Ubuntu 服務(wù)器上打開/var/log并檢查系統(tǒng)日志：

1. 打開終端并登錄到 SSH。
2. 運(yùn)行以下命令將工作目錄更改為/var/log。請記住，這不會(huì)產(chǎn)生任何輸出。

cd /var/log

3. 要列出所有文件，請插入以下命令并按Enter：

ls

4. 要檢查系統(tǒng)日志，請輸入以下命令并按Enter：

須藤貓系統(tǒng)日志

15. 使您的應(yīng)用程序保持最新

您的 VPS 使用的軟件越舊，它就越容易受到攻擊。開發(fā)人員通常會(huì)定期發(fā)布更新和安全補(bǔ)丁。請務(wù)必留意您的軟件的最新版本，并在它們可用時(shí)立即安裝。

以下是在 Debian 或 Ubuntu 上的操作方法：

• 如果要更新整個(gè)包列表，請運(yùn)行以下命令：

sudo apt-get 更新

• 如果您要更新實(shí)際包，請輸入此命令并按Enter 鍵：

sudo apt-get 升級(jí)

請按照以下步驟在 CentOS/RHEL 上執(zhí)行此操作：

• 要刷新包數(shù)據(jù)庫并安裝更新，請鍵入此命令并按Enter。

須藤百勝更新

• 要檢查任何更新，請插入以下命令并按Enter。

sudo yum 檢查更新

如果您在服務(wù)器上使用內(nèi)容管理系統(tǒng) (CMS)，我們建議您通過啟用自動(dòng)更新來自動(dòng)執(zhí)行此過程。此外，您還可以創(chuàng)建cron 作業(yè)，這是一個(gè)基于 Linux 的實(shí)用程序，用于安排命令或腳本在指定的時(shí)間和日期運(yùn)行。

在 CentOS 或 RHEL 上安裝和運(yùn)行 cron 作業(yè)最方便的方法是使用 yum-cron。每次發(fā)布新版本時(shí)，它將自動(dòng)更新軟件。以下是在 CentOS 或 RHEL 上設(shè)置它的方法：

1. 打開終端并通過 SSH 連接。
2. 通過運(yùn)行以下命令安裝 yum-cron：

sudo yum install yum-cro

3. 通過插入以下命令并按Enter啟用該服務(wù)。請注意，這不會(huì)產(chǎn)生任何輸出。

sudo systemctl 啟用 yum-cron.service

4. 通過鍵入以下命令并單擊Enter來啟動(dòng)服務(wù)。請記住，此命令不會(huì)產(chǎn)生回復(fù)。

sudo systemctl start yum-cron.service

5. 通過運(yùn)行以下命令檢查服務(wù)的狀態(tài)：

sudo systemctl status yum-cron.service

6. 使用以下命令打開配置文件：

須藤 vi /etc/yum/yum-cron.conf

7. 在輸出中找到以下行并將no替換為yes。保存更改并退出文件。

apply_updates = 是

結(jié)論

始終保護(hù)和保持您的 VPS 安全非常重要，尤其是因?yàn)樗鎯?chǔ)了您的敏感數(shù)據(jù)和程序。盡管 Linux 以其強(qiáng)大的安全性而聞名，但它仍然存在您應(yīng)該注意的漏洞。常見的網(wǎng)絡(luò)攻擊和需要注意的問題包括惡意軟件、嗅探和暴力攻擊、SQL 注入、跨站點(diǎn)腳本 (XSS)、缺少功能級(jí)控制和身份驗(yàn)證損壞。