如今，Linux在網(wǎng)絡(luò)空間中的使用急劇增加，隨之而來的可能威脅的數(shù)量比以往任何時候都多，安全性已成為一個重要因素。無論是 Linux 專用服務(wù)器還是 Linux?VPS，兩者都隨時有遭受攻擊的風險。這就是為什么如果您沒有采取措施改善 Linux 服務(wù)器的網(wǎng)絡(luò)安全，現(xiàn)在就應(yīng)該這樣做。有很多方法可以保護 Internet 上的服務(wù)器。在本文中，我們將介紹保護 Linux VPS 服務(wù)器的 8 種最佳方法。

什么是 Linux VPS？

VPS 代表虛擬專用服務(wù)器。它是由 Web 主機提供的服務(wù)，可將裸機服務(wù)器拆分為更小的虛擬機。然后，這些 VM 以專用服務(wù)器價格的一小部分出租，每個 VM 都充當具有自己的操作系統(tǒng)和專用資源的獨立服務(wù)器。正如您現(xiàn)在可能已經(jīng)猜到的那樣，Linux VPS 只是一個運行 Linux 發(fā)行版（例如 Debian、Ubuntu、CentOS、RHEL 等）的虛擬專用服務(wù)器。

Linux VPS 安全性的重要性

事實上，大多數(shù)人更喜歡 Linux Web 服務(wù)器而不是 Windows 服務(wù)器，因為它提高了安全性，但是，它的安全性取決于您在其上的配置。在設(shè)置任何 Web 服務(wù)器時，請牢記其安全性。許多人會選擇不同的層，例如 WAF（即 Web 應(yīng)用程序防火墻）、IDS（即入侵檢測系統(tǒng)）或 Mod Security，以實時應(yīng)對不同的威脅。

如果您的 Linux VPS 上沒有安裝適當?shù)陌踩胧?，惡意軟件可能會進入服務(wù)器，這就是問題開始的時候。如果您在上述 VPS 上存儲任何敏感信息，由于簡單的安全監(jiān)督，這些信息都可能被盜。您的服務(wù)器還可以用作垃圾郵件發(fā)送中繼，并且可能會被某些 DNS 提供商列入黑名單，從而使使用上述提供商的任何人都無法看到您的網(wǎng)站。

如果您的 Linux VPS 缺乏安全性，黑客可以控制您的服務(wù)器并對其進行惡意或徹底的非法活動。根據(jù)他們的行為，您作為服務(wù)器的所有者甚至可能要為此負責。在最壞的情況下，您可能會完全失去對服務(wù)器的訪問權(quán)限，但是，在大多數(shù)此類情況下，您的網(wǎng)絡(luò)托管服務(wù)提供商只會刪除受感染的 VPS 并為您提供一個新的 VPS。

如果有人入侵您的服務(wù)器或在其上安裝了某些惡意軟件，所有這些威脅都只是觸及可能發(fā)生的事情的表面。但是，請不要忘記，這些只是威脅。如果采取適當?shù)陌踩胧鼈冎粫鳛橥{而存在，永遠不會變成實際問題。您可以采取以下一些措施來幫助遠離威脅。

提高 Linux VPS 服務(wù)器安全性的 8 個關(guān)鍵檢查點

1. 使用復(fù)雜且不可預(yù)測的密碼

保護Linux VPS最重要的一步 是選擇一個強密碼。黑客的第一次嘗試是使用蠻力攻擊 來滲透您的系統(tǒng)。擁有復(fù)雜且不可預(yù)測的密碼使他們幾乎不可能訪問您的服務(wù)器。

以下是選擇復(fù)雜密碼的一些提示：

• 使用至少 12 個字符
• 使用大寫和小寫字母
• 在字母之間放置數(shù)字
• 使用非數(shù)字和非字母字符

使用以下代碼更改密碼：passwd username

要更改根密碼：passwd root

2.禁止root用戶登錄

作為 root 用戶，您將擁有在 Linux 終端上進行任何類型更改的所有權(quán)力。禁用 root 用戶登錄意味著登錄的人將無法再使用 root 權(quán)限。這是一個很好的安全措施，因為為了訪問 root 權(quán)限，用戶將不得不再次提供密碼。

要禁用 root 用戶登錄，請執(zhí)行以下步驟：

使用編輯器打開文件“etc/ssh/sshd_config/”：

nano /etc/ssh/sshd_config

在此文件中查找以下語句并將單詞 yes 更改為 no。

# Prevent root logins:

PermitRootLogin no

更改后重啟 SSH 服務(wù)并保存文件。

service ssh restart

3. 限制用戶登錄以 保護 VPS

您的服務(wù)器上可能有很多用戶名，但您只需要登錄幾個帳戶。

假設(shè)您在 Linux 上有 10 個用戶，但應(yīng)該只允許兩個人（Sophia 和 Emma）遠程連接到服務(wù)器。

要限制 Linux 用戶，請使用編輯器打開 sshd_config 文件。

nano /etc/ssh/sshd_config

打開文件后，

AllowUsers Sophia Emma

更改后重啟 SSH 服務(wù)并保存文件。

Service ssh restart

4. 禁用協(xié)議 1

SSH 服務(wù)使用 2 種協(xié)議，即協(xié)議 1 和協(xié)議 2。協(xié)議 1 與其他協(xié)議相比安全性較低，因此最好在通信中使用協(xié)議 2。

要禁用協(xié)議 1，請使用編輯器打開 sshd_config 文件。

nano /etc/ssh/sshd_config

找到以下語句并更改為“協(xié)議 2”。

# Protocol 2,1

Protocol 2

更改后重啟 SSH 服務(wù)并保存文件。

Service ssh restart

5. SSH 使用非標準端口

默認的 SSH 服務(wù)端口是 22，所以黑客會先檢查這個端口。在某些情況下，管理員會將 SSH 端口更改為 2222，但是您要知道，黑客肯定會掃描 22 端口，如果沒有結(jié)果，他們的第二選擇是 2222 端口。 最好使用帶有很多數(shù)字的端口不保留用于其他服務(wù)。最好的選擇是10000到65000之間，其中大部分是免費的。

我們有一個關(guān)于如何更改 SSH 端口的深入指南，這將幫助您詳細了解它。

6. 用防火墻過濾 SSH 連接

如果您僅遠程連接到服務(wù)器并使用特定 IP，則可以使用以下命令隔離與 SSH 服務(wù)的連接。

iptables –A 輸入 –p tcp –s 5.56.233.9 –dport 22 –j –接受

通過輸入上述命令，您只能從 IP 地址為 5.56.233.9 的系統(tǒng)連接到服務(wù)器。

如果要從所有位置訪問服務(wù)器，請輸入以下命令：

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh –rsource

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT

在第一個命令中，您打開所有 IP 對端口 22 的訪問。

在第二個命令中，防火墻會自動阻止在 60 秒內(nèi)發(fā)送多個請求的 IP。

注意： 要正確執(zhí)行第二條命令，您必須添加默認的 DROP 策略。

7. 使用安全密鑰進行身份識別

使用 安全密鑰 有兩個主要的安全優(yōu)勢。

• 您無需輸入密碼即可訪問您的終端。
• 您可以完全禁用密碼日志記錄，以便無需密碼即可連接到服務(wù)器。

此功能可防止某些可能的攻擊，例如蠻力攻擊。

8. 保持服務(wù)器最新

服務(wù)器更新是您應(yīng)該始終牢記的關(guān)鍵事項之一。定期更新 Linux 服務(wù)器以修復(fù)安全和性能問題。在新發(fā)布的操作系統(tǒng)版本中，開發(fā)人員通常會包含針對最近發(fā)現(xiàn)的漏洞的安全改進和補丁。如果您的服務(wù)器不是最新的，黑客可能會利用上述漏洞來訪問您的 VPS。