VPS 服务器安全加固与防护

很多人买了 VPS 服务器后就没有管过,但是由于 VPS 具有公网 IP ,直接暴露在互联网上,如果不加管理,一不小心自己花钱买的服务器可能就会沦为别人的肉鸡。

正好前几天有知乎网友私信我相关问题,但是因为之前那篇搭建 GPS 系统的文章涉嫌敏感被删了,然后被禁言了不能回复,所以把防护的思路整理了一下在这里分享。


一、修改 SSH 默认端口

SSH 端口爆破是比较常见的网络攻击

因为 SSH 的默认登陆端口是 22,一些自动化程序会扫描全网开放 22 端口的主机,然后再进行暴力破解。

如果这个时候你的密码很简单的话,被爆破开的几率会大大增加。

(所以密码强度很重要,就算你不打算改默认端口也要设置一个复杂一点的密码,增加破解难度)

当然很多服务器厂商自己生成的密码强度也是很高的,比如 Vultr 。

可以执行以下命令查看登录日志

cat /var/log/secure

这个时候你的屏幕可能会一直刷新,因为尝试登陆的记录太多了,Ctrl + C 中断,意识到问题的严重性就好了。

修改 SSH 端口详细教程参考:

修改 VPS 服务器 SSH 默认连接端口——Mr96's Blogmr96s.com

二、安装服务器防护软件

网络攻击无处不在,服务器安全软件可以有效的防止DDOS、CC攻击、网页篡改、网站跳转劫持等情况的发生,可视化简单操作,自动化实施服务器安全策略,起到服务器安全加固作用。

防止攻击者直接攻击服务器获取高权限,从而对服务器数据、文件产生威胁。

对 VPS 小白 和 新手站长都是非常不错的选择。

有很多服务器安全产品可自己选择一个安装


三、Webshell 后门查杀

现在建站门槛非常低,网络上有很多现成的 CMS 建站程序,甚至不需要你懂代码,不需要你会编程,就能轻轻松松搭建网站(当然会点更好)。

这些程序不少是被人修改过的,有些可能被人留了后门。

在建站之前应该先对建站程序进行 webshell 后门查杀

这里推荐百度 OpenRASP 团队的在线木马查杀引擎:WEBDIR+

实测多款在线查杀中效果最好,识别最准,误报最低的 webshell 查杀引擎。

除了扫描本地上传的文件,还可以直接调用接口对服务器上的文件进行扫描,及时发现清理 webshell 后门。

网上找了几个比较新的过 waf 马都识别出来了。


四、安装 WAF 或者 RASP

开放的服务越多,攻击面就越广。当攻击者发现服务器没有直接的漏洞可以利用会转向 web 层发起攻击。

就算上面选用的 CMS 建站程序没有后门,但是程序本身可能存在漏洞,或者服务器其它中间件存在漏洞可以利用。

一旦被利用,网站数据受到威胁,进而也威胁到服务器安全。

所以应该在 web 层部署一道防护,服务器防护软件是针对的系统层,而 WAF 和 RASP针对的是 web 应用层。

个人偏向使用 RASP ,RSAP 可以将自身注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自保护的能力。至于 WAF 和 RASP 的具体区别可以自己了解。

有了 rasp 就算你的网站有漏洞,攻击者也很难利用,在发起攻击时拦截阻断,增加攻击难度和成本。

具体安装教程过两天再更


如果你有什么好的建议或者文章中有什么不足的地方,欢迎在评论区指出,后期更新到文章中。



---------------------------------------------------------------------------------------------

2020/1/29 更新一发

Nginx 自带的防火墙也是可以的,如果不是很熟悉 Linux 系统的话,可以直接在宝塔安装可视化 Nginx 防火墙插件。


另外宝塔现在也有了 百度 OpenRASP 的插件

测试效果:

一句话木马拦截


PHP大马拦截


发表评论