购买国外vps后,需做的安全措施

特吐血整理出以下文章。
1.禁止ping或者icmp，防止被小黑客恶意扫描。
内核禁止ping：
echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
这下是别人不能ping你，你也不能ping别人
将其值改为1后为禁止PING
将其值改为0后为解除禁止PING
iptables禁止ping：
iptables -I INPUT -p icmp -j DROP
（ubuntu可以写在rc.local里让其开机自启动运行）
2.iptables忽略rst，因为很大程度上，vps买来就是自己用的，然后如果上面放网站的话，忽略了这个也有好处，就是万一网站链接被重置，客户端再忽略rst后就可以正常传输网页了，其他不会被丢包但是会被rst的服务同理。
iptables -I INPUT -p tcp –tcp-flags SYN,FIN,RST,URG,PSH RST -j DROP
3.安装fail2ban。 主机放在国外最怕什么？不就是被扫描攻击刺探连接吗？安装fail2ban可以有效降低被发现安装了敏感服务等事情的几率。 centos折腾链接：http://www.centoscn.com/CentosSecurity/SoftSecurity/2015/0324/4996.html ubuntu折腾： 1.安装fail2ban sudo apt-get install fail2ban 源码包请自行上网查找。 2.设置 sudo vi /etc/fail2ban/jail.local 例如把ssh保护起来，那么配置文件应该是这样的，将vi的光标移动到[DEFAULT]区域。

[DEFAULT]
# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
# 客户端主机被禁止的时长（秒）
bantime = 86400
# 客户端主机被禁止前允许失败的次数
maxretry = 5
# 查找失败次数的时长（秒）
findtime = 600
mta = sendmail
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=your@email.com, sender=fail2ban@email.com]
# Debian 系的发行版
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数
maxretry = 3
根据上述配置，fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁，这个IP地址将会在24小时内一直被禁止访问 SSH 服务。

设置完毕后保存配置文件重启。
# /etc/init.d/fail2ban restart
为了验证fail2ban成功运行，使用参数’ping’来运行fail2ban-client 命令。 如果fail2ban服务正常运行，你可以看到“pong”作为响应。
# sudo fail2ban–client ping
Server replied: pong
另外，ssh尽量使用cert登录这也是一种极好的选择，这样可以大大降低被破解的可能，如果可以，尽量选择更改SSH端口为其他端口也可以降低被破解和扫描的可能性.