Pages

Saturday, 5 August 2017

购买国外vps后,需做的安全措施

特吐血整理出以下文章。
1.禁止ping或者icmp,防止被小黑客恶意扫描。
内核禁止ping:
echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
这下是别人不能ping你,你也不能ping别人
将其值改为1后为禁止PING
将其值改为0后为解除禁止PING
iptables禁止ping:
iptables -I INPUT -p icmp -j DROP
(ubuntu可以写在rc.local里让其开机自启动运行)
2.iptables忽略rst,因为很大程度上,vps买来就是自己用的,然后如果上面放网站的话,忽略了这个也有好处,就是万一网站链接被重置,客户端再忽略rst后就可以正常传输网页了,其他不会被丢包但是会被rst的服务同理。
iptables -I INPUT -p tcp –tcp-flags SYN,FIN,RST,URG,PSH RST -j DROP
3.安装fail2ban。 主机放在国外最怕什么?不就是被扫描攻击刺探连接吗?安装fail2ban可以有效降低被发现安装了敏感服务等事情的几率。 centos折腾链接:http://www.centoscn.com/CentosSecurity/SoftSecurity/2015/0324/4996.html ubuntu折腾: 1.安装fail2ban sudo apt-get install fail2ban 源码包请自行上网查找。 2.设置 sudo vi /etc/fail2ban/jail.local 例如把ssh保护起来,那么配置文件应该是这样的,将vi的光标移动到[DEFAULT]区域。
[DEFAULT]
# 以空格分隔的列表,可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
# 客户端主机被禁止的时长(秒)
bantime = 86400
# 客户端主机被禁止前允许失败的次数
maxretry = 5
# 查找失败次数的时长(秒)
findtime = 600
mta = sendmail
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=your@email.com, sender=fail2ban@email.com]
# Debian 系的发行版
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数
maxretry = 3
根据上述配置,fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁,这个IP地址将会在24小时内一直被禁止访问 SSH 服务。
设置完毕后保存配置文件重启。
# /etc/init.d/fail2ban restart
为了验证fail2ban成功运行,使用参数’ping’来运行fail2ban-client 命令。 如果fail2ban服务正常运行,你可以看到“pong”作为响应。
# sudo fail2ban–client ping
Server replied: pong
另外,ssh尽量使用cert登录这也是一种极好的选择,这样可以大大降低被破解的可能,如果可以,尽量选择更改SSH端口为其他端口也可以降低被破解和扫描的可能性.

No comments:

Post a Comment