第一:做好服务器账户安全管理
1、修改密码长度
[root@localhost /]# vi /etc/login.defs
PASS_MIN_LEN 18
2、创建一个普通用户账号并设置密码,这样所有的操作都使用该普通账号进行,后面还要禁止Root帐号的操作。
[root@localhost /]# useradd ru
[root@localhost /]# passwd ru
上面的ru用你想创建的用户名替代
3、禁用不必要的帐号
Linux默认提供了很多账号,账号越多,系统就越容易受到攻击,所以应该禁止所有默认的被操作系统本身启动的并且不必要的账号。 可以使用 vi /etc/passwd 查看系统账号,使用 vi /etc/group 查看系统的用户组。
[root@localhost /]# userdel adm
[root@localhost /]# userdel lp
[root@localhost /]# userdel sync
[root@localhost /]# userdel shutdown
[root@localhost /]# userdel halt
[root@localhost /]# userdel news
[root@localhost /]# userdel uucp
[root@localhost /]# userdel operator
[root@localhost /]# userdel games
[root@localhost /]# userdel gopher
[root@localhost /]# userdel ftp
[root@localhost /]# groupdel adm
[root@localhost /]# groupdel lp
[root@localhost /]# groupdel news
[root@localhost /]# groupdel uucp
[root@localhost /]# groupdel games
[root@localhost /]# groupdel dip
[root@localhost /]# groupdel pppusers
以上代码一条一条输入运行既可。
4、 禁止非授权用户获得权限
[root@localhost /]# chattr +i /etc/passwd
[root@localhost /]# chattr +i /etc/shadow
[root@localhost /]# chattr +i /etc/group
[root@localhost /]# chattr +i /etc/gshadow
这样操作之后也无法创建账号和修改密码,后面可以使用chattr -i命令恢复之后再进行操作。
第二:修改SSH端口
很多黑客选手或者同行都是用软件直接扫描网站VPS/主机端口的,一般的大家都知道VPS端口为22,如果我们修改了端口至少先找不到端口,很多时候由于我们的端口是默认,即便主机安全也会留下大量的日志文件。这些文件就是被暴利破解的错误记录。
修改SSH端口的方法:登陆SSH,然后通过 vi /etc/ssh/sshd_config 命令打开文件,修改其中的port后面的数字。
最后一步就是重启ssh,需要注意的是centos和debian是不同的命令,这也是很多新手站长在玩VPS的时候出现的疑问。所以我把这两种方法都说一下:
CentOS 重启SSH : service sshd restart
DeBian重启SSH:service ssh restart
第三:禁止ping
将 /proc/sys/net/ipv4/icmp_echo_ignore_all 文件的内容修改为1,不过这样的话如果服务器重启之后就会恢复为0了。
可以将下面的内容加入到 /etc/rc.d/rc.local 文件中:
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
鲁公网安备 37021402001407号