十分钟解决Linux VPS建站中不能忽视的安全问题

neverstop

       因为Linux的安全性、性能和效率相对Win系统的VPS高，越来越多的站长使用Linux的VPS，使用LNMP环境搭建WordPress网站，但是很多站长往往忽视了一些基础的安全问题，导致网站遭受攻击。
      
       最常见的类型是主机被尝试暴力破解登陆密码，站长朋友们写文章，搞外链接辛辛苦苦打造出一个赚美刀的平台，被破解后，hacker建帐号留后门清除登陆痕迹，日后慢慢榨干这台VPS上每一个可以盈利的资源，到时站长们不喝酒也是要醉了。其实这样被扫描+暴力破解的情况我们花上十分钟就可以应付了，当然最主要还是要保持一定的安全意识。
       进入正题，暴力破解，解决的办法可以分三步：1、禁Root   2、换端口   3、使用定期更换的长密码（用密钥取代密码）
        1、不少站长拿到初始化好了Linux VPS环境，直接使用远程root帐号登陆，众所周知root权限无所不能，方便是方便了，却留下安全隐患。为了提高服务器的安全度，需要对它进行禁止，使得攻击者无法通过暴力破解来获取root权限。
1）新建一个用户
#useradd thegrouplet(thegrouplet为新建的用户名)
2）为新用户设置密码
#passwd thegrouplet(thegrouplet为新建的用户名)
3）修改SSHD配置，禁止root直接登录
#vi /etc/ssh/sshd_config
查找"#PermitRootLogin yes"，将前面的"#"去掉，短尾"Yes"改为"No"后:wq保存文件。
4）修改完毕后，重启sshd服务
#service sshd restart
5）下次登录，先使用thegrouplet登录，然后通过su - root 来获取root权限。

         2、禁了root后还是会被尝试登陆，没关系，咱把SSH的端口改下，虽然更改端口无法在根本上抵御端口扫描，但是，可以在一定程度上提高VPS的防御B格。
1）打开sshd配置文件
#vi /etc/ssh/sshd_config
2）找到#Port 22字段删掉#，将22改为其他不被使用的端口
服务器端口最大可以开到65536，建议使用4XXXX端口
3）重启sshd服务
#service sshd restart
4）千万千万要记得增加防火墙规则啊，见过不少朋友开着防火墙把自己墙在外面的，我也是醉了
修改iptables配置文件：vi /etc/sysconfig/iptables添加以下内容
-A INPUT -p tcp -m state --state NEW -m tcp --dport 49999 -j ACCEPT
保存退出:wq后重启防火墙服务
#service iptables restart

        3、最后推荐大家定期手工更新强密码，强密码定义是长度8位以上有大小字母写加数字，B格高的可以使用密钥取代密码登陆，大家自行百度，大前提是保证你的登陆工具和电脑要干净。

        4、最后说下安全意识，一开始我们看到有人尝试暴力破解我们的Linux VPS，你有没有想过要看看到底是神马人物对我们的小小网站感兴趣，不懂你知不知道，反正我是想知道。
#vi /var/log/secure
大写G翻到最后，看看登陆记录
        
百度一下这个IP显示江苏省淮安市电信，本着眼不见心不烦的原则，我们把这个IP加到iptables里
vi /etc/sysconfig/iptables添加以下规则，禁止此IP访问我们的VPS
-I INPUT -s 218.2.0.123 -j DROP

       这下世界清静了。。。。

       不知道大家每天花多少时间维护自己的站，抽0.5%的时间看一下安全方面的日志，会免去很多后患。最后，在网上收集整理了一个近期进行端口扫描的主机列表，该怎么办，你懂的。

jesse

我现在用的是密匙登陆，把口令登陆给关闭了。

lygzhangbo

谢谢 楼主分享安全知识！

lbw1215

谢谢分享

iamazon

不错！！！

多肉芒果

谢谢 楼主分享安全知识！

dengwen168

这个真的有用啊，

我现在建站基本上都用VPS了，多谢楼主。

luck

第3）步，我是用FileZilla 找到的那个文件进行修改的，下载到本地进行修改保存，再上传的
原文中说的yes改为no后， :wq保存文件是什么意思？

我关了Xshell，再重新登陆发现#变成S了，是怎么回事，看下截图，
谢谢！