V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
WildCat
V2EX  ›  问与答

VPS 上常用的安全措施有哪些?

  •  
  •   WildCat · 2014-03-08 00:31:42 +08:00 via iPhone · 4981 次点击
    这是一个创建于 3907 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近打算把博客迁移到vps上,想请教下前辈。

    抛砖引玉,
    1.更改ssh端口
    2.严格控制iptables开放的端口
    3.为服务进程分配专用用户

    另外,系统的选择,主要用过CentOS,Ubuntu是否更好用,刚才装MySQL,JDK1.6恶心了,yum版本太老,Oracle不允许wget,校园网络差scp太慢还容易断。是否apt-get里面版本新一些?
    第 1 条附言  ·  2014-03-08 06:38:23 +08:00
    另外,有用过安全狗的吗?安装了一下,感觉这个软件没有用心做,文档很旧。我装的Linux最新版,绑定它的服云平台后竟然提示我的安全狗版本过旧,点链接直接跳转到windows的下载页。
    14 条回复    1970-01-01 08:00:00 +08:00
    letitbesqzr
        1
    letitbesqzr  
       2014-03-08 02:02:05 +08:00   ❤️ 1
    使用密匙登录 禁止密码登录
    marklrh
        2
    marklrh  
       2014-03-08 02:43:43 +08:00   ❤️ 1
    可以看一眼这篇文章里说的:http://0v.org/installing-ghost-on-ubuntu-nginx-and-mysql/#.UxoS-eddWNs

    其中有提到: SSH Hardening - disable root login and change port(禁止root登陆,更换端口)
    还有什么 Install and configure Firewall - ufw
    然后还有几个其他的方法
    blacktulip
        3
    blacktulip  
       2014-03-08 02:46:13 +08:00   ❤️ 1
    laoyu
        4
    laoyu  
       2014-03-08 03:49:29 +08:00   ❤️ 1
    如果只是一个个人博客且是独立的服务器。

    1.建议使用类似安全宝、加速乐之类的程序。
    用它不是单纯为了加速,而是为了隐藏真实IP和使用它的防注入XSS,DDOS\CC攻击等安全功能。能起到一点点作用,比在服务器上各种安全配置来的实际。

    2.尽量少的使用开源程序与插件,能不用的尽量不用。
    如果是Wordpress留意更新,打补丁。

    3.管好自己的所有与网站有关的密码,域名、邮箱、服务器等。只要不是弱口令就行了。

    4.设置好目录读写权限,不需要写入操作的目录全部设置为只读,需要写入的目录根据情况设置权限,如附件目录、图片目录,要禁止执行脚本文件。

    5.根据情况设置Web程序与服务器用户权限,尽量避免直接使用root账户。



    //如果只是一个个人博客,就这样随意弄弄就行了,没人搞你,避免些基本的就够了。
    //如果是比较有价值的站,上面的就全忽略吧,怎么搞也没用,就看有没有人盯着你。
    //如果不是独立服务器,也忽略吧,怎么搞也没啥用。
    laoyu
        5
    laoyu  
       2014-03-08 04:30:43 +08:00 via iPhone
    抱歉,对不起,躺在床上我意识到刚才我说错话了。

    我们不应该抱着“没人会黑我”、“没人会搞我”这种心态去配置安全的服务器,大多数情况下安全事件都是这样的心态造成的。

    曾经发生的各种大型安全事件大多数也都是因为管理人员的大意疏忽,这就是安全的核心问题。可能一个小的细节也会被人所利用。

    希望能明白意思就好!没有绝对的安全,但也不要疏忽大意!

    我可能答不对题但也希望有些帮助。
    blacktulip
        6
    blacktulip  
       2014-03-08 05:36:31 +08:00
    @laoyu 没人搞是不可能的,肉鸡那是多多益善
    WildCat
        7
    WildCat  
    OP
       2014-03-08 06:39:20 +08:00 via iPhone
    alexrezit
        8
    alexrezit  
       2014-03-08 07:43:21 +08:00   ❤️ 1
    ssh: 更换端口, 禁用 root 登录, 禁用密码登录.
    ksc010
        9
    ksc010  
       2014-03-08 09:17:00 +08:00   ❤️ 1
    1.上面有多个站的话一定要设置好open_base防止把程序限制到它自己的目录里面防止跨站访问别的文件
    比如php可以设置 open_basedir
    2.安装fail2ban防止暴利破解ssh ftp等服务帐号
    3.勤更新系统 apt-get update & apt-get upgrade
    4.mysql帐号多个站点一定不要设置为一样,更不能使用root了,而且权限也要限制死
    5.网站使用开源程序的话,多关注更新状态,勤跟进 (比如去wooyun.com
    原来写过一篇文章 linux用户通过ssh登录后邮件提醒
    http://blog.geekli.cn/archives/70 这样有账户登录自己就知道了 比较安心点
    ptsa
        10
    ptsa  
       2014-03-08 09:54:52 +08:00
    mark
    TankyWoo
        11
    TankyWoo  
       2014-03-08 10:02:02 +08:00   ❤️ 2
    我以前总结的:http://blog.tankywoo.com/blog/2013/09/14/common-security-of-vps/

    楼上很多写的很精彩!
    WildCat
        12
    WildCat  
    OP
       2014-03-08 12:43:43 +08:00
    SoloCompany
        13
    SoloCompany  
       2014-03-08 12:54:01 +08:00
    Oracle 接管了 Java 之后的确干了不少让人恶心的事情,比如封掉了旧版 JDK 的下载
    你封掉 1.4 或 1.5 我都忍了,连 1.6 都封真是毫无节操

    不过还好能够绕过去,只需要
    * 把下载路径的 otn 修改成 otp-pub
    * 添加 Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com

    示例 - 下载 JDK6u45
    ```
    curl http://download.oracle.com/otn-pub/java/jdk/6u45-b06/jdk-6u45-linux-i586.bin \
    -O -L -k -H "Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com
    ```
    nanpuyue
        14
    nanpuyue  
       2014-03-08 18:39:48 +08:00
    禁用密码登录,全部改用密钥。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2695 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 10:59 · PVG 18:59 · LAX 02:59 · JFK 05:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.