藏经阁之前代理用VPS管理都很简陋,导致各种被菊爆,准备做点基础防护教程,大概会包含以下内容,等博主慢慢补充(你也可自行去Google):
1、ssh防爆,修改默认端口,fail2ban封堵异常IP。
2、防火墙配置,只开放使用到的端口,站内代理类一键脚本可能会关闭防火墙,这里会对应修复脚本。
3、避免web应用目录777权限,站内建站类一键脚本为了省事儿可能会777,这里会研究并修复。
4、及时更新系统及软件,修复软件漏洞。
5、异常登陆/用户/启动脚本/进程/定时任务检查。
未完待续
安装iptables,仅开放使用的端口
注意:一定开放SSH端口,否则,你将和VPS失联,只能通过控制面板去操作咯
首先,确认一下你的ssh端口是否为22,你登陆的时候用的端口,也有默认不是22的,用下面命令查看一下(多此一举,SSH都登陆了还不知道ssh端口是多少,也太白了)
ssh_port=$(awk '$1=="Port" {print $2}' /etc/ssh/sshd_config) && echo $ssh_port如果没有输出默认应该就是22了,接下来安装iptables
#安装iptables
#centos
yum install iptables-services
systemctl start iptables
systemctl enable iptables
#配置iptables,注意你的ssh端口是不是22
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#保存iptables配置
#centos
service iptables save以上配置只开放了tcp 22端口,所以如果需要开通其他端口,使用以下命令
#例如开启80端口
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#然后保存
#centos
service iptables save修改SSH默认端口号
首先把你准备改成的端口号在iptables放行,比如你要改成21222,那么你要把21222端口开放,上面的教程告诉你了(必须进行这一步)。
然后修改ssh的端口
vi /etc/ssh/sshd_config找到“#Port 22”
去掉#,修改为刚刚放行的端口号
重启ssh服务
#centos
systemctl restart sshd安装fail2ban,防SSH被爆
#安装fail2ban
#centos
yum install -y epel-release
yum --enablerepo=epel -y install fail2ban
systemctl enable fail2ban
#注意将ssh默认22端口,修改成你的端口号 修改"port=22"
cat > /etc/fail2ban/jail.local <<-EOF
[DEFAULT]
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
bantime = 18000
maxretry = 5
findtime = 300
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=22, protocol=tcp]
logpath = /var/log/secure
EOF
#重启fail2ban
service fail2ban restart原创文章,作者:atrandys,如若转载,请注明出处:https://www.atrandys.com/2020/2417.html