虽然Linux比Windows安全,但是一些简单的安全配置是必要的。
网上有很多工具可以通过字典扫描你的管理员密码。我们可以制造一些麻烦,增加被破译的可能性。下面我们一起来学习一下入门级的安全配置。
第一:远程管理端口
修改ssh的登录端口。默认端口是22。在字典中查找详尽的密码。都是从默认开始的。
如果把端口改成4位数,会大大增加他们的难度和时间。
使用vi命令编辑ssh配置文件(vi命令需要几个简单的命令,如编辑、保存和退出等。如果不熟悉或者不会,可以搜索百度或者本站):
vi /etc/ssh/sshd_config
找到#端口22,去掉前面的#,修改为端口1998(这个号码尽量用4位数,避免被其他端口占用),
然后,重新启动sshdservice sshd restart,
不要忘记,ssh客户端在重启后必须更改新端口才能登录。
第二,为root用户设置一个强密码(最好是10位数以上:字母被字典破译的可能性就像中彩票一样困难)
一般这个背景是可以修改的。例如,SolusVM平台可以直接修改:
如果其他管理面板没有修改密码的功能,您也可以在ssh中使用passwd命令进行修改:
(当然也可以禁用root用户,新建一个用户给root权限,但Eagle认为没必要,只要强密码破译的可能性还是很小的)。
第三,小规模防御ddos和cc
Ddos已经有很多年了,国内90%的机房都有一定的防御能力。攻击的原理(配置硬件防火墙)很简单,就是用假数据包堵住你的网络。但是国外的IDC大多不提供防御,我们只能用软件辅助,在一定程度上减少攻击。但这跟服务器硬件本身的配置和带宽有很大关系。一般只能防御小规模攻击,流量大了还是会瘫痪。
Windows平台有软防御和注册表修改来实现这个目标。如今,Linux下的软件引入了系统自带的DDos deflate和iptables。具体操作如下:
确保默认情况下通常提供服务iptables staus服务;
然后开始安装;
安装后,将显示如下:
安装后需要配置文件。vi编辑器:
vi /usr/local/ddos/ddos.conf
这里主要是APF_BAN=1改为0(使用iptables)。另外EMAIL_TO='root '可以把root改成你的一个邮箱地址,这样系统会把哪个IP去掉,会有邮件提示。
系统默认白名单有些问题,经常有错误。因此,我们最好重新设置手动白名单,并且不能修改。
经过以上配置,基本的安全配置就OK了。当然,liunx平台下也有很多类似的免费防火墙,但基本都是英文文档。实际部署它们需要更多的研究和实践。
