VPS服务器是许多网站、应用程序和企业的主要部署方式,但它们也面临着被黑客攻击和入侵的风险。为了确保VPS服务器的安全性,我们需要采取一些措施来防止它被入侵。
最近发现好多同学开始使用云服务器了,遂写个服务器安全小科普~
下面是一些防止VPS服务器被入侵的重要措施:
使用强密码、SSH密钥和高位端口
在设置VPS服务器的SSH登陆密码时,确保使用强密码,并使用SSH密钥进行身份验证。强密码应该包含字母、数字和特殊字符,并且长度至少为12个字符。例如vbrAd23Sa!dSeID2dF
使用SSH密钥可以提高安全性,因为它比密码更难猜测,而且不会被恶意软件攻击。在正式的环境中,一般都会采用SSH密钥。
此外,将SSH端口更改为高位端口,如23456或56429(一般建议要在10000以上),可以大大减少暴力破解密码的风险。具体方法可以参考网上的教程。
如果你的服务商提供了安全组,你还需要在安全组中放开新的端口
防火墙和安全策略
IDC提供的安全组
如果你购买的是腾讯云、阿里云等,控制面板中可以找到机器对应的安全组,在这里可以选择放开哪些端口或者协议。常见的可以放开80
,443
以及一个SSH端口。
防火墙
安装防火墙和安全软件可以帮助防止黑客攻击和入侵。
防火墙可以设置规则,限制哪些IP地址可以访问VPS服务器,从而减少暴力破解密码的风险。CentOS和Ubuntu是两个常用的Linux操作系统,它们都有自己的默认防火墙。CentOS默认使用firewalld作为防火墙,使用iptables进行包过滤。Ubuntu默认使用ufw作为防火墙,也使用iptables进行包过滤。
在使用VPS服务器时,应该了解所使用的防火墙,并学会如何配置和管理它们。如果没有安全组,或者VPS处于集群中,则务必要配置防火墙。
具体操作可以在网络上寻找。
安全软件
某些接口的常见漏洞可能会被利用,例如“一句话”攻击。因此需要加入前置的过滤器防止这类攻击。
Fail2ban
fail2ban
是一个非常常用的ssh防爆破插件。它可以封禁短时间内多次登陆失败的IP,防止密码被试出。
可以使用下面的脚本安装
wget "https://raw.githubusercontent.com/sunyi369/fail2banc/master/fail2banc.sh" && bash fail2banc.sh install
禁用不必要的服务和端口
禁用不必要的服务和端口可以减少黑客攻击的风险。如果不需要对外暴露某些服务或端口,最好将它们禁用,以防止黑客利用它们进行攻击。尤其是3309、8080等关键端口绝对不能暴露在公网!
定期备份数据(非常重要)
定期备份VPS服务器上的数据可以确保在发生入侵或数据丢失时可以快速恢复。最好将备份数据存储在不同的位置,以防止备份数据也被黑客攻击。
一个比较经济的方案是,将OneDrive或者Google Drive挂在作为本地硬盘,并通过脚本周期性地备份数据。(我自己正在使用的)
某些服务商会提供全盘快照,这样会更加方便和可靠,但是价格可能比较高。
限定访问来源
如果你购买了专用网、或者你搭建了虚拟专用网,可以限定登陆IP为你控制主机的IP,这样可以在很大程度上让破解手段失效。
更详细的防护可以看这篇文章https://mp.weixin.qq.com/s/n4dph35AP-6-LfrGFJ23AA
总之,防止VPS服务器被入侵需要采取一系列措施,包括使用强密码、SSH密钥和高位端口,更新操作系统和软件,安装防火墙和安全软件,禁用不必要的服务和端口,定期备份数据,以及使用安全协议和加密。否则,可能会像我的服务器在去年一样被挂马了💔