我正在运行一个 VPS,并在其中部署了一些项目。由于我是唯一访问服务器的人,而且我有一个固定 IP,所以我决定配置 iptables,以便只能从我的固定 IP 访问服务器。
因为我非常担心安全问题,所以当只有我的固定 IP 可以访问时,我不确定是否需要采取额外的措施来保护我的服务器。
还有其他安全改进需要考虑吗?
答案1
我采用同样的方法,睡得更好了!
提示 1:您应该拥有一个具有真正有效的恢复能力的提供商。我有一个并且使用过一次。我一直听到一些传言说提供商只是名义上具有恢复能力。
无论你采取什么措施,你都有可能被黑客入侵,黑客可能来自你服务器公司的被黑客入侵的笔记本电脑、服务器软件公司、某些 Linux 漏洞等。你可能永远不知道黑客是如何入侵的。被黑客入侵或 root 的 VPS 帐户的解决方案只有一个,即从预计干净日期的备份中进行完整恢复。
提示 2:对于软件密码,请注意那些令人厌烦的日子和“我将在几分钟内更改它”的密码,以及旧的、未使用的、不重要的、被搁置的 cms 网站,这些网站没有人检查或更新。
我的经验是,如果有攻击,那一定是来自网站软件。或者至少,你的网站托管公司肯定会因此而指责你。
使用 IP 规则保护 root 可防止攻击者使用 SSH 获取 root 访问权限。但如今,当 vps 被黑客入侵时,有效载荷是网站本身、数据库中的电子邮件、黑客感染的 php 文件。谁在乎 root 访问权限呢?但您说得对,被黑客入侵是一回事,获得 root 权限又是另一回事。
请注意:当一个人有很多项目,随着时间流逝,在疲惫的一天,在进行测试项目时,他根本懒得去寻找一个长密码,或者懒得去使用除“admin”之外的其他管理员登录名。他想以后再更改它。通常,一次错误就足够了。
您必须对所有 cms 密码制定无例外策略,切勿使用 admin 作为管理员用户名,并且尽可能更新您的软件。
提示 3:Iptables 防火墙规则,它们可能无法保护来自不同 IP 的 VPS GUI 区域登录。
例如,可以使用 etc/hosts.allow 文件来过滤 ssh 登录和管理面板登录的 IP。您应该请求支持人员执行此操作,然后自己检查该文件。
提示4:加强网站之间的账户分离。
Cpanel 或任何其他,自 2013 年以来,账户之间的默认分离很弱。一个账户被黑客入侵 > 脚本人员在几分钟内访问所有账户 > 访问所有数据库 > 服务器与 root 一样好。请参阅http://forums.cpanel.net/f185/solutions-handling-symlink-attacks-202242.html24 页的恐惧。解决方案:要求您的网络主机安装符号链接攻击保护,并且如果可能的话,对 config.php 和任何其他数据库信息文件(http://whmscripts.net/misc/2013/apache-symlink-security-issue-fixpatch/)。
//some symlink protection between user accounts, if you know what you are doing
//list files: web root >
find -type f -regex ".*config.php" -exec ls -lh {} \;
//change permissions
find -type f -regex ".*config.php" -exec chmod 600 {} \;
答案2
有很多事情需要考虑,但这取决于您拥有什么样的设置以及您想要保护什么。
以下是一些需要考虑的事项:
- 没有密码用于 ssh 访问(使用私钥)
- 沒有root访问权限对于 ssh
- 对用户使用 sudo,以便记录命令
- 记录未经授权的登录尝试(并考虑使用软件来阻止/禁止尝试访问您的服务器过多次的用户)
- 非标准端口上的 ssh
- 如果不使用 ipv6 之类的东西,请确保将其锁定
- 保持软件更新(操作系统、网络服务器、脚本语言、CMS)
- 删除不需要的任何软件
- 确保文件权限被锁定(尤其是对于用户上传之类的内容)
- 限制有权访问服务器的人员
- 密码保护管理区域用于 Web 服务器级别的 CMS
- 使用 SSL 来保护管理区域和其他敏感数据
答案3
对于开发目的,通过 IP 进行限制足以阻止大多数恶意方。但是,您仍然应该担心来回发送的明文信息。如果可能,请始终使用加密通道与您的服务器交互:SSH 用于管理和文件传输,HTTPS 等。
有关更多信息,请参阅以下问题的答案:保护 LAMP 服务器的技巧。