保护Linux vps和防止黑客攻击的方法

与Windows等其他操作系统相比，Linux的默认安全性非常好。但它仍然有弱点并不是无懈可击的。在这篇文章中，下面将介绍多种保护Linux vps和防止黑客攻击的方法。

1、禁用根登录

想要安全的Linux vps，那么不应该以root用户身份登录。默认情况下，每个Linux vps都有“root”作为用户名，因此黑客会尝试暴力攻击来破解密码并获得访问权限。禁用从“root”用户名登录会增加另一层安全性，因为它会阻止黑客简单地猜测您的用户凭据。

我们无需以root用户身份登录，而是需要创建另一个用户名并使用“sudo”命令来执行 root 级别的命令。（Sudo是一种特殊的访问权限，可以授予授权用户，以便他们可以运行管理命令，并且无需root 访问权限。）

在禁用“根”帐户之前，请务必创建我们的非根用户并为其提供适当级别的授权。准备就绪后，继续/etc/ssh/sshd_config在nano或vi中打开并找到“PermitRootLogin”参数。

默认情况下，这会说“是”。

将其更改为“否”并保存更改。

2、更改SSH端口

人们很难在找不到SSH的情况下破解它，更改SSH端口号可以防止恶意脚本直接连接到默认端口(22)。为此，我们需要打开/etc/ssh/sshd_config并更改适当的设置。请务必仔细检查所选端口号是否正在被任何其他服务使用。

3、保持服务器软件更新

更新服务器的软件并不困难，我们可以简单地使用rpm/yum包管理器 (CentOS/RHEL)或apt-get (Ubuntu/Debian)将已安装的软件、模块和组件升级到更新版本。

我们甚至可以将操作系统配置为通过电子邮件发送yum包更新通知，这使得跟踪正在发生的变化变得容易。而且，如果我们愿意自动执行该任务，可以设置一个cronjob来代表应用所有可用的安全更新。

如果使用的是面板，例如Plesk或cPanel，那么我们也需要更新它。大多数面板都可以设置为自动更新，cPanel使用EasyApache进行大多数包更新。

4、删除不需要的模块/包

我们不太可能需要与Linux发行版捆绑在一起的所有软件包和服务。删除的每项服务都减少了一个需要担心的弱点，因此请确保我们只运行实际使用的服务。最重要的是，避免安装不必要的软件、软件包和服务，以最大程度地减少潜在威胁。它还具有简化服务器性能的受欢迎的副作用！

5、禁用 IPv6

IPv6与IPv4相比有几个优点，但我们不太可能在使用它，也很少有人在使用它。但它被黑客使用，他们经常通过IPv6发送恶意流量，让协议保持开放状态可能会使我们面临潜在的攻击。要解决此问题，请编辑/etc/sysconfig/network并更新设置，以便它们读取NETWORKING_IPV6=no和IPV6INIT=no。

6、使用GnuPG加密

黑客通常会在数据通过网络传输时将其作为目标。这就是为什么使用密码、密钥和证书对传输到服务器的数据进行加密至关重要的原因。一种流行的工具是GnuPG，这是一种基于密钥的身份验证系统，用于加密通信。它使用的“公钥”只能通过“私钥”解密，而“私钥”仅供预期接收者使用。

7、拥有强大的密码政策

弱密码一直是最大的安全威胁之一，所以不允许用户帐户的密码字段为空，或使用简单的密码，如“123456”、“password”、“qwerty123”或“trustno1”。我们可以通过要求所有密码混合使用大小写来提高安全性，以避免使用字典单词并包含数字和符号。启用密码老化以强制用户定期更改旧密码，并考虑限制重复使用以前的密码。

还可以使用“faillog”命令设置登录失败限制，并在反复尝试失败后锁定用户帐户，以保护我们的系统免受暴力攻击。

8、配置防火墙

简而言之，如果我们想要真正安全的Linux vps，则需要防火墙。幸运的是，有很多可供选择。NetFilter是与Linux内核集成的防火墙，我们可以配置它来过滤掉不需要的流量。借助NetFilter和iptables，可以对抗分布式拒绝服务(DDos)攻击。TCPWrapper是另一个有用的应用程序，它是一个基于主机的访问控制列表 (ACL)系统，用于过滤不同程序的网络访问。它提供主机名验证、标准化日志记录和欺骗保护，所有这些都有助于增强我们的安全性。

其他流行的防火墙包括CSF和APF，它们都为cPanel和Plesk等流行的面板提供插件。

9、使用磁盘分区

为了增加安全性，最好对磁盘进行分区，使操作系统文件远离用户文件、tmp 文件和第三方程序。我们还可以禁用SUID/SGID访问 (nosuid) 并禁用操作系统分区上的二进制文件(noexec)执行。

10、将/boot设置为只读

在Linux vps上，所有特定于内核的文件都存储在“/boot”目录中。

但是该目录的默认访问级别是“读写”，为防止对引导文件进行未经授权的修改，这对我们的服务器的平稳运行至关重要，将访问级别更改为“只读”是个好主意。

为此，只需编辑/etc/fstab文件并将LABEL=/boot /boot ext2 defaults, ro 1 2添加到底部。而且，如果我们将来需要对内核进行更改，可以简单地恢复到“读写”模式。然后我们可以进行更改并在完成后将其设置回“只读”。

以上是保护Linux vps和防止黑客攻击的10个方法。还有更多其他方法，欢迎随时探讨！

本文地址：https://www.htstack.com/news/4494.shtml

特别声明：以上内容均为 衡天云(HengTian Network Technology Co.,Limited) 版权所有，未经本网授权不得转载、摘编或利用其它方式使用上述作品。