最近是不是经常看到有人吐槽服务器被黑?数据库被删、网站挂满菠菜广告、流量莫名其妙被掏空…这些糟心事可能就因为你少做了几个安全设置。刚入坑的小白最容易犯的错就是:买完服务器装完环境就直接上线——这和裸奔上网有啥区别?
第一步:给服务器穿条”底裤” 刚拿到服务器就像刚出生的婴儿,得先做基础防护。改掉默认的22端口是常识吧?但很多人连这个都没做。用root账户裸奔登录的更是一抓一大把,你这不是明摆着让黑客来家里做客吗?
这时候需要三件套: 1. 新建带sudo权限的普通用户 2. 禁用root远程登录 3. 把SSH端口改成四位数(比如5822这种)
具体操作其实很简单,用nano打开/etc/ssh/sshd_config文件,找到PermitRootLogin改成no,Port后面填新端口号。改完记得service sshd restart重启服务,不然改了个寂寞。
第二步:给服务器装道”防盗门” 防火墙不是摆设!很多人觉得开了云服务商的安全组就万事大吉,其实系统防火墙才是最后一道防线。建议同时配置ufw和云平台安全组,双重保险更安全。
重点要封杀的端口: – 22端口(改成你自己设定的新端口) – 3306(MySQL默认端口) – 6379(Redis端口) – 11211(Memcached端口)
特别是数据库端口,绝对不要对外网开放。去年有个客户就因为开着3306端口,数据库直接被勒索比特币,你说亏不亏?
第三步:给服务器配个”保安” fail2ban必须装!它能自动封禁尝试暴力破解的IP。配置起来也不难,改下/etc/fail2ban/jail.local文件里的参数: – maxretry设置5次错误就封 – bantime建议设24小时 – 把SSH端口号同步改成你修改后的
装完记得看日志:tail -f /var/log/fail2ban.log,看到有IP被ban就说明生效了。有次我服务器一天ban了200多个IP,都是来自越南和巴西的扫描器。
第四步:定期给服务器”体检” 别以为设置完就高枕无忧了,这三个检查必须定期做: 1. 用last命令查看登录记录,有没有可疑IP 2. 用netstat -antp看异常连接 3. 用top命令检查CPU占用情况
上个月我发现服务器CPU莫名飙高,一查是个挖矿木马。后来发现是用了来源不明的安装脚本,真是防不胜防。所以安装软件时最好用官方源,别图省事随便curl个脚本就跑。
第五步:给服务器买份”保险” 备份!备份!备份!重要的事说三遍。推荐用crontab做定时任务,把关键数据同步到对象存储。有个朋友服务器被黑,但因为有异地备份,半小时就恢复了业务,这就是差距啊。
小白常问的问题 Q:关掉root登录后怎么管理系统? A:用新建的普通用户登录后,sudo -i切换root权限就行。建议配置ssh密钥登录,比密码安全十倍。
Q:防火墙规则设错了连不上怎么办? A:云平台都有救援模式,实在搞砸了可以通过控制台重置。所以改规则前最好先测试,用nohup执行命令,避免手滑断联。
Q:被入侵后怎么处理? A:立即断网!用备份镜像重装系统。千万别在已被入侵的环境里折腾,可能留有后门程序。
小编观点:服务器安全就是个持续对抗的过程,没有一劳永逸的方案。但做好这五步,至少能挡住90%的自动化攻击。记住,黑客永远在找最容易得手的目标,别让自己成为那个软柿子。
本站文章由SEO技术博客撰稿人原创,作者:阿君创作,如若转载请注明原文及出处:https://www.ainiseo.com/hosting/24458.html
