VPS 服务器安全加固与防护

很多人买了 VPS 服务器后就没有管过,因为 VPS 的有公网 IP ,直接暴露在互联网上,一不小心自己花钱买的服务器就可能沦为别人的肉鸡。

正好前几天有知乎网友私信我相关问题,但是因为之前那篇搭建 GPS 系统的文章涉嫌敏感被删了,然后被禁言了不能回复,所以把防护的思路整理了一下在这里分享。

如果有什么好的建议或者不足欢迎在评论区支出,后期更新到文章中。
 

一、修改 SSH 默认端口

SSH 端口爆破应该是比较常见的攻击之一 

因为 SSH 的默认登陆端口是 22,一些自动化程序会扫描全网开放 22 端口的主机,然后再进行暴力破解。

如果这个时候你的密码很简单的话,被爆破开的几率会大大增加。

(所以密码强度很重要,就算你不打算改默认端口也要设置一个复杂一点的密码,增加破解难度)

当然很多服务器厂商自己生成的密码强度也是很高的,比如 Vultr  。

可以执行以下命令查看登录日志
cat /var/log/secure

这个时候你的屏幕可能会一直刷新,因为尝试登陆的记录太多了,Ctrl + C 中断,意识到问题的严重性就好了。

 

二、安装服务器防护软件

网络攻击无处不在,服务器安全软件可以有效的防止DDOS、CC攻击、网页篡改、网站跳转劫持等情况的发生,可视化简单操作,自动化实施服务器安全策略,起到服务器安全加固作用。

防止攻击者直接攻击服务器获取高权限,从而对服务器数据、文件产生威胁。

对 VPS 小白 和 新手站长都是非常不错的选择。

有很多服务器安全产品可自己选择一个安装

 

三、Webshell 后门查杀

现在网络上有很多现成的 CMS 建站程序,都不需要你懂代码,不需要你会编程,就能轻轻松松搭建网站(当然会点更好),建站门槛非常低。

但是这些程序不少是被人修改过的,有些可能被别人留了后门。

在建站之前应该先对建站程序进行 webshell 后门查杀

这里推荐百度 OpenRASP团队的在线木马查杀引擎:WEBDIR+

实测多款在线查杀中效果最好,识别最准,误报最低的 webshell 查杀引擎。

除了扫描本地上传的文件,还可以直接调用接口对服务器上的文件进行扫描,及时发现清理 webshell 后门。

测试了几个最新的过 waf 马都精准识别到了。

 

四、安装 WAF 或者 RASP

开放的服务越多,攻击面就越广。当攻击者发现服务器没有直接的漏洞可以利用会转向 web 层发起攻击。

就算上面选用的 CMS 建站程序没有后门,但是程序本身可能存在漏洞,或者服务器其它中间件存在漏洞可以利用。

一旦被利用,网站数据受到威胁,进而也威胁到服务器。

所以应该在 web 层部署一道防护,服务器防护软件是针对的系统层,而 WAF 和 RASP针对的是 web 应用层。

个人偏向使用 RASP ,RSAP 将自身注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自保护的能力。至于 WAF 和 RASP 的具体区别可以自己了解。

就算你的网站有漏洞,攻击者也很难利用,在发起攻击时被拦截阻断,增加攻击难度和成本。

 

我的知乎专栏:VPS 搞机指南 会持续输出更多 VPS 相关内容,关注获取更多 vps 姿势。

发表评论

电子邮件地址不会被公开。 必填项已用*标注