概述
自行购买的境内外云主机,尤其境外小厂家,毕竟小厂的云主机价格相比AWS,阿里云这些要便宜的多,但是安全方面会差很多,尤其是为了方便把常用的端口开放,很容易为挂马,部署一些恶意程序,或脚本,过多占用服务器性能,这里列出一些基本的安全防范措施,仅供参考。
- SSH端口限制IP登陆
- 复杂化root密码
- 开启防火墙
常用手段具体操作
- 关闭root远程登陆,改用其他用户登录
vim /etc/ssh/sshd_config #修改PermitRootLogin 后面的yes 为 no ,
systemctl restart sshd.service #重启服务
创建新用户,使用其他用户远程SSH登陆。
useradd username # 创建用户
passwd username # 设置用户密码
用户SSH登录
白名单设置
允许特定用户登录(白名单):
在**/etc/ssh/sshd_config配置文件中设置AllowUsers**选项,(配置完成需要重启 SSHD 服务:)格式如下:
AllowUsers xiaoming bbc@192.168.1.1 #允许 xiaoming和从 192.168.1.1 登录的 bbc帐户通过 SSH 登录系统。
service sshd restart # 重启ssh服务
黑名单设置
拒绝指定用户进行登录(黑名单):
在**/etc/ssh/sshd_config配置文件中设置DenyUsers**选项,(配置完成需要重启SSHD服务)格式如下:
DenyUsers usename01 username02 # 拒绝username01,username02账号ssh登录
service sshd restart # 重启ssh服务
- 限制IP SSH远程登录
可以通过IP进行限制登录,linux 服务器IP限制通过设置 /etc/hosts.allow 和 /etc/hosts.deny 这个两个文件,前者白名单,后者黑名单:
白名单IP操作
vim /etc/hosts.allow #白名单,编辑,键入如下
sshd:192.168.0.1:allow #允许 192.168.0.1 这个 IP 地址 ssh 登录
sshd:192.168.0.1/24:allow #允许 192.168.0.1/24 这段 IP 地址的用户登录
黑名单IP操作
vim /etc/hosts.deny #黑名单,编辑,键入如下
sshd:ALL # 拒绝全部的 ssh 登录
hosts.allow 和hosts.deny 两个文件同时设置规则的时候,hosts.allow 文件中的规则优先级高