AdvertCN - 广告中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

Binom
 谷歌+Bing+TT+MSN官方代理 
⚡️按条S5代理⚡️静态⚡️独享⚡️5G⚡️最干净<Wifi住宅+5G移动>IP代理指纹浏览器,就用AdsPower
Mediabuy⚡️玩家开户首选【鲁班跨境通-自助充值转账】FB/GG/TT❤️官方免费开户Affiliate 全媒体流量资源⚡️
Taboola/Outbrain /Bing⚡️一级代理开户投流-7*24h❤️人工在线【官方】❤️搜索套利广告开户独立站⚡️开户投放
DuoPlus专注打造跨境电商云手机E.PN 虚拟卡BINOM TRACKER 60% OFF!比Adplexity还好用的Spy工具
MediaGo+Taboola+Ob开户百度国际MediaGo⚡️让产品狂奔全球百度国际,高点击转化,快速放量百度国际MediaGo,独家原生流量
ADPLEXITY + ADVERTCN7200W全球动态不重复住宅IP代理Facebook 批量上广告尤里改 - FB 稳定投放
免费黑五教程(持续更新、欢迎交流)FB 三不限源头 - 自助下户充值转款各种主页、账单户、BM户(优势)⚡️个人户,bm户不限额,账单户
一手BM分享户不限额9Proxy ⚡️ $0.04/IP, 无限带宽 FB二三解0.1元一个虚拟卡|PTM星际卡
FB专用虚拟卡Google、Bing官方总代  联盟流量开户fb耐用号0.01一个fb账号官方合作商
广告位出租   
查看: 4460|回复: 2

加强Linux VPS 安全策略

[复制链接]

29

主题

560

广告币

565

积分

中级会员

Rank: 3Rank: 3

积分
565

社区QQ达人

发表于 2013-9-3 18:22:33 | 显示全部楼层 |阅读模式
如果使用的密码不够强健,恐怕一切都是白搭,所以首先需要设定足够强健的密码。包括系统用户登录密码,特别是 root 帐户的;还有 MySQL 用户的密码;以及其它一切可以获取读取系统任何内容的权限的密码。总之,一切密码好了。同时还要注意,不要使用相同的密码
不要怕记不住。编写一个强健的密码,然后在自己的日记本上写下来,同时在电脑上找个地方保存下来(Windows 7 的便笺就是个不错的选择)。需要通过网页登录,或者使用 SSH 登录的时候,只需要复制粘贴就可以了(在 Putty 的窗口单击鼠标右键就可以完成粘贴)。
对VPS上所有的密码都是用强密码,并且要互不相关,避免泄露一个密码后其它密码随之泄露。

虽然 Linode VPS 提供的 CentOS 系统已经优化得挺不错的了,可还是有不少系统内建用户和组是不需要的。清理掉这些用户和组也有助于系统安全。当然,安全起见,还是需要先备份。
CentOS 中用户信息存储在 /etc/passwd 文件中。下面的命令可以显示出所有用户。
cat /etc/passwd
使用 root 帐户运行下面的命令来清理不需要的用户和组:
cp /etc/passwd /etc/passwd.savcp /etc/group /etc/group.savfor a in adm lp sync news uucp operator games gopher mailnull nscd rpc;do /usr/sbin/userdel $a -f; donefor a in lp news uucp games gopher users floopy nscd rpc rpcuser nfsnobody;do /usr/sbin/groupdel $a -f; done
主要通过修改 SSH 的配置文件来实现:
vim /etc/ssh/sshd_config
重点是下面 3 项。所有几个关键配置都列在这一节的后面,以供参考。
  • 禁止 root 帐户远程登录Linux 系统里最知名的用户名就是 root 了,也就最容易遭到暴力破解攻击。禁止 root 用户通过 SSH 登录就可以避免这种悲剧。另外增加一个自己用的用户名,可以稍微复杂一点,让别人不容易猜。这样可以增加一些难度。不是跟你有仇的人,恐怕就不会花力气来猜你的用户名了。于是通过 SSH 来攻击也就不存在了。PermitRootLogin no
  • 限定可以登录 SSH 的用户名除了 root 帐户之外,Linux 中还有其它一些默认的帐户,有些还不能轻易删除。所以只是禁止 root 帐户 SSH 登录还不行,最好限定可以登录 SSH 的用户名。
  • 更改 SSH 端口默认的 SSH 端口是 22。现在网上有无数的机器在扫描 22 端口,寻找攻击机会。在我的 VPS 刚上线的那几天里,收到了大量针对 22 端口的扫描,也就是暴利破解 SSH 密码。攻击的用户名主要是 root,也有其它一些常见的简单用户名,如 test123 之类的。上面提到的一些默认帐户也在攻击者的列表中。将 SSH 端口改为一个不常见的,例如Port 1234
  • 也可以使用证书来登录 SSH,减少密码使用的次数。这里先不讨论了。还没有配置成功。
  • 配置完成后重起 SSH 服务使之生效:service sshd restart


评分

参与人数 1广告币 +1 收起 理由
严重浪漫 + 1

查看全部评分

相关帖子
回复

使用道具 举报

85

主题

925

广告币

2532

积分

高级会员

Rank: 4

积分
2532

社区QQ达人

发表于 2013-9-3 18:44:09 | 显示全部楼层
To strive,to seek,to find,and not to yield!
回复 支持 反对

使用道具 举报

7

主题

614

广告币

1003

积分

中级会员

Rank: 3Rank: 3

积分
1003
发表于 2013-9-3 23:28:54 | 显示全部楼层
楼主啊 复制东西 要复制好,,该空格和回车的 处理一下啊

菜鸟遇到报错 要折腾一阵子的
cp /etc/passwd /etc/passwd.sav
cp /etc/group /etc/group.sav
for a in adm lp sync news uucp operator games gopher mailnull nscd rpc;
do /usr/sbin/userdel $a -f; done
for a in lp news uucp games gopher users floopy nscd rpc rpcuser nfsnobody;
do /usr/sbin/groupdel $a -f; done

原文:http://blog.chinaunix.net/uid-26393988-id-3490209.html
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们|联系我们|DMCA|广告服务|小黑屋|手机版|Archiver|Github|网站地图|AdvertCN

GMT+8, 2024-12-4 01:24 , Processed in 0.044587 second(s), 14 queries , Gzip On, MemCache On.

Copyright © 2001-2023, AdvertCN

Proudly Operating in Hong Kong.

快速回复 返回顶部 返回列表