vps安全设置的方法有哪些

作者：小雨时间：2023-08-14 15:05 浏览量：次

2.软文推荐

3.软文推荐

目录： 1、vps如何安全设置？centos5的系统 2、怎么设置VPS主机的安全策略呢？ 3、如何保证VPS SSH登录的安全？ 4、VPS主机安全运行技巧有哪些 5、搭建Linux系统的VPS的步骤教程 vps如何安全设置？centos5的系统

1，关闭不需要的服务

这个应该很容易理解的，凡是我们的系统不需要的服务，一概关闭，

这样一个好处是减少内存和CPU时间的占用，另一个好处相对可以提高安全性

那么哪些服务是肯定要保留的呢?

在linux机器上通常有四项服务是必须保留的

iptables

linux下强大的防火墙，只要机器需要连到网上，哪里离得开它

network

linux机器的网络，如果不上网可以关闭，只要上网当然要打开它

sshd

这是openssh server,如果你的机器不是本地操作，而是托管到IDC机房，

那么访问机器时需要通过这个sshd服务进行

syslog

这是linux系统的日志系统，必须要有，

否则机器出现问题时会找不到原因

除了这四项必需的服务之外，其他的服务需要保留哪些呢？

这时就可以根据系统的用途而定，比如：数据库服务器，就需要启用mysqld(或oracle)

web服务器，就需要启用apache

2,关闭不需要的tty

请编辑你的/etc/inittab

找到如下一段：

1:2345:respawn:/sbin/mingetty tty1

2:2345:respawn:/sbin/mingetty tty2

3:2345:respawn:/sbin/mingetty tty3

4:2345:respawn:/sbin/mingetty tty4

5:2345:respawn:/sbin/mingetty tty5

6:2345:respawn:/sbin/mingetty tty6

这段命令使init为你打开了6个控制台，分别可以用alt+f1到alt+f6进行访问

此6个控制台默认都驻留在内存中，事实上没有必要使用这么多的

你用ps auxf这个命令可以看到，是六个进程

root 3004 0.0 0.0 1892 412 tty1 Ss+ Jun29 0:00 /sbin/mingetty tty1

root 3037 0.0 0.0 2492 412 tty2 Ss+ Jun29 0:00 /sbin/mingetty tty2

root 3038 0.0 0.0 2308 412 tty3 Ss+ Jun29 0:00 /sbin/mingetty tty3

root 3051 0.0 0.0 1812 412 tty4 Ss+ Jun29 0:00 /sbin/mingetty tty4

root 3056 0.0 0.0 2116 412 tty5 Ss+ Jun29 0:00 /sbin/mingetty tty5

root 3117 0.0 0.0 2396 412 tty6 Ss+ Jun29 0:00 /sbin/mingetty tty6

如何关闭这些进程？

通常我们保留前2个控制台就可以了，

把后面4个用＃注释掉就可以了

然后无需重启机器，只需要执行 init q 这个命令即可

init q

q作为参数的含义：重新执行/etc/inittab中的命令

3，如何关闭ipv6?

ipv6目前我们还不需要，但系统安装完成后它会作为模块常驻核心，没有必要，

可以用这个步骤来关闭它:

首先编辑网络配置文件：

vi /etc/sysconfig/network

修改

NETWORKING_IPV6=yes

为

NETWORKING_IPV6=no

然后关闭其模块：vi /etc/modprobe.conf

在文件中添加以下两行

alias net-pf-10 off

alias ipv6 off

修改完成后需重启机器使之生效

4,如何关闭atime?

一个linux文件默认有3个时间：

atime:对此文件的访问时间

ctime:此文件inode发生变化的时间

mtime:此文件的修改时间

如果有多个小文件时通常没有必要记录文件的访问时间，

这样可以减少磁盘的io,比如web服务器的页面上有多个小图片

如何进行设置呢？

修改文件系统的配置文件：vi /etc/fstab

在包含大量小文件的分区中使用noatime,nodiratime两项

例如：

/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0

这样文件被访问时就不会再产生写磁盘的io

5,一定要让你的服务器运行在level 3上

做法：

vi /etc/inittab

id:3:initdefault:

让服务器运行X是没有必要的

6,优化sshd

X11Forwarding no //不进行x图形的转发

UseDNS no //不对IP地址做反向的解析

7，优化shell

修改命令history记录

# vi /etc/profile

找到 HISTSIZE=1000 改为 HISTSIZE=100

然后 source /etc/profile

vps上如果启用防火墙，必须打开3389端口和4643端口

否则远程桌面和VZPP面板会无法连接

关于压力测试：UnixBench是一款不错的Linux下的VPS性能测试软件怎么设置VPS主机的安全策略呢？

对于VPS的安全防护，一般对于Linux系统的话，基本上不需要做太多的安全防护。对于Windows系统的话，可能要做一些安全防护保障措施。如修改远程登录端口、禁止或限制一些不必要的用户账户、使用安全的账户密码策略、正确恰当的系统权限的设置等。

如何保证VPS SSH登录的安全？

1. 更换sshd端口2. 禁用ssh密码登录，仅使用证书登录 VPS默认的SSHD服务开启在22端口，互联网上有很多所谓的“hacker”时刻用ssh扫描工具扫描IP上的22端口，然后用字典工具尝试是否有类似于“123abc”这样的若密码，一旦您的root密码是弱密码的话，您的VPS就会成为“肉鸡”。下面Hi-VPS介绍几种简单的方法来保护您的VPS SSH安全。 1. 更换sshd端口最简单的办法就是更改sshd默认的22端口，这样ssh扫描工具就以为这个IP上并没有开启sshd服务。 sed -i -e 's/Port 22/Port 22233/' /etc/ssh/sshd_config 运行上面的命令就把ssh的默认端口改为22233,然后需要重启sshd服务,生效更改: service sshd restart 这样就能在很大程度上解决VPS的ssh被扫描的风险。只需在ssh登录软件上把默认的ssh端口也改为22233即可。 2. 禁用ssh密码登录，仅使用证书登录（使用证书登录SSH操作比较麻烦，一般用户在更改默认sshd端口后既可以抵挡一般性的ssd扫描，在不设置ssh证书的前提下也能在很大程度上增加系统的安全性）使用ssh私钥登录而不使用密码登录，能在更大程度上保证ssh的安全。（1）创建私钥可以用putty自带的“PUTTYGEN”来创建私钥，PUTTYGEN就在putty的目录下面,双击运行后弹出界面. 点击界面中的Generate按钮,开始生成一个私钥,在过程中鼠标要不停的随机移动产生足够的随机数来帮助生成高强度的私钥: 组后生成的私钥就是一个很长的随机字符串,然后输入私钥密码提示(防止你忘了私钥密码),私钥密码: 先在复制生成的私钥字符串,然后点击save private key来保存私钥. （2）上传私钥至VPS 先通过ssh登录后,运行如下命令创建ssh服务端配对私钥: mkdir -p $HOME/.ssh touch $HOME/.ssh/authorized_keys chmod go-w $HOME $HOME/.ssh $HOME/.ssh/authorized_keys vim $HOME/.ssh/authorized_keys 在VIM中按o(小写),然后右键（通过putty登录ssh的时候，putty右键表示复制内容）,刚才的私钥密码就复制进去了,然后按Esc,按两次大写字母Z,保存退出. （3）在putty中导入私钥点击“Broser”按钮，导入私钥：然后设置自动登录用户,这就不用每次都输入登录用户名了: OK,保存session 导入私钥后,再登录putty就可以直接输入比较简单的私钥密码了,不用输入几十位原始密码. （4）禁用VPS的SSHD的密码登录首先需要编辑sshd_config文件: vim /etc/ssh/sshd_config 把PasswordAuthentication yes这一行改为: PasswordAuthentication no 然后重启ssh服务: service sshd restart（5）使用PAGEANT代理私钥如果您有好几台VPS需要管理，就可以用使用PAGEANT,每次甚至不用输入私钥密码就能登录. 运行PAGEANT.exe,导入你刚才保存的私钥文件,PAGEANT会让你输入私钥密码,输入后PAGEANT就待在右下角任务栏中,如果需要连接那个ssh,就右键点击PAGEANT,从saved sessions中选择,直接登录.

VPS主机安全运行技巧有哪些

要看你的主机是什么系统了

如果是linux系统，只要修改默认的22登录端口，设置复杂密码就可以了

如果是windows主机，建议用最新版本的，然后打上补丁，再装上服务器防护软件

搭建Linux系统的VPS的步骤教程

Linux继承了Unix以网络为核心的设计思想，是一个性能稳定的多用户网络操作系统。有用户想要在Linux上搭建vps这篇文章主要介绍了实例讲解搭建Linux系统的VPS的步骤,包括防火墙和SSH等基本软件的部署方法 ,非常细致,需要的朋友可以参考下

前期准备

需要购买一台拥有 root 权限的 VPS ，我选择的是搬瓦工 ,当时购买的是 512 M 内存 5 G SSD，500 G 流量/月， 9.99 刀每年，但是好像现在这种低价套餐已经结束了。有意的朋友可以看一下其他的套餐或者别的公司的 VPS。有的朋友说 DigitalOcean 的速度非常快，看YouTube直接 1440p，但是我还没测试过，目前搬瓦工的速度能满足我的需求，而且 DO 的价格比较昂贵。

服务器购买后，安装 CentOS7，因为以下教程都是基于 CentOS7 的，安装新的 OS 后，搬瓦工会告诉你 SSH 的端口和 root 的密码，这些是自己无法自定义的，要记住了如果实在忘了也可以重置 root 密码，或者直接使用搬瓦工提供的在线SSH登录来操作也可，就是反应比较慢，所以我们以后还是常用 ssh 登录来配置 VPS ，Mac 下直接使用终端就好，win 下自行寻找一个 ssh 工具就好。

复制代码代码如下:

$ ssh -p vps 端口号 root@vpsIP 地址

登录上以后就相当于在本地操作一样了，你可以使用各种 Linux 命令来操作了。

配置防火墙

如果 SSH 无法登录，那说明防火墙关闭了 SSH 端口，需要通过在线 SSH 登录进去关闭防火墙重新配置。

清除防火墙配置

复制代码代码如下:

$ iptables -F

清除 iptabels 所有表项，同时 nat 设置也没了，但是我们后续的脚本里会配置的，不用担心。如果 SSH 登录正常就不用管防火墙。

安装 firewalld

复制代码代码如下:

$ yum install firewalld firewall-config

$ systemctl start firewalld

P.S. 我在安装完 firewalld 之后然后启动服务的时候一直显示失败，然后重启了一遍服务器就可以正常的启动 firewalld 服务了，有类似情况的朋友可以重启一下服务器。

修改 SSH 端口

复制代码代码如下:

$ vi /usr/lib/firewalld/services/ssh.xml

会出现以下的内容：

复制代码代码如下:

SSH

Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface， enable this option. You need the openssh-server package installed for this option to be useful.

将 port=”22”，修改成搬瓦工提供给你的端口号，然后重载 firewalld 就 OK。

vi 的命令: 按 “i” 是编辑模式，编辑后按 “esc” 退出编辑模式，然后按 Shift 输入“:” 和 “wq” 保存退出 vi。

复制代码代码如下:

$ firewall-cmd --permanent --add-service=ssh

$ firewall-cmd --reload

OK，现在准备工作都已就绪，安装了源，安装配置了防火墙，下一步开始搭建服务了。

搭建 Shadowsocks 服务

这个服务是最简单也是最常用的。

安装组件

复制代码代码如下:

$ yum install m2crypto python-setuptools

$ easy_install pip

$ pip install shadowsocks

安装时部分组件需要输入 Y 确认。小内存 VPS 可以分别安装组件。

安装完成后配置服务器参数

复制代码代码如下:

$ vi /etc/shadowsocks.json

写入如下配置：

复制代码代码如下:

{

"server":"0.0.0.0"，

"server_port":8388，

"local_address": "127.0.0.1"，

"local_port":1080，

"password":"mypassword"，

"timeout":300，

"method":"aes-256-cfb"，

"fast_open": false，

"workers": 1

}

将上面的 mypassword 替换成你的密码， server_port 也是可以修改的，例如 443 是 Shadowsocks 客户端默认的端口号。

如果需要修改端口，需要在防火墙里打开响应的端口，用 firewalld 操作就比较简单了：

复制代码代码如下:

$ vi /usr/lib/firewalld/services/ss.xml

下面代码粘贴到里面：

复制代码代码如下:

Shadowsocks port

保存退出，然后重启 firewalld 服务：

复制代码代码如下:

$ firewall-cmd --permanent --add-service=ss

$ firewall-cmd --reload

运行命令，启动 Shadowsocks 服务

运行下面的命令：

复制代码代码如下:

$ ssserver -c /etc/shadowsocks.json

至此 shadowsocks 搭建完成，shadowsocks 已经可以使用，如果你没有过高的要求，下面的步骤可以省略，下面是后台运行 Shadowsocks 的步骤。

安装 supervisor 实现后台运行

运行以下命令下载 supervisor：

复制代码代码如下:

$ yum install python-setuptools

$ easy_install supervisor

然后创建配置文件：

复制代码代码如下:

$ echo_supervisord_conf /etc/supervisord.conf

修改配置文件：

复制代码代码如下:

$ vi /etc/supervisord.conf

在文件末尾添加：

复制代码代码如下:

[program:ssserver]command = ssserver -c /etc/shadowsocks.json

autostart=true

autorestart=true

startsecs=3

设置 supervisord 开机启动，编辑启动文件：

复制代码代码如下:

$ vi /etc/rc.local

在末尾另起一行添加：

复制代码代码如下:

$ supervisord

保存退出(和上文类似)。另 centOS7 还需要为 rc.local 添加执行权限：

复制代码代码如下:

$ chmod +x /etc/rc.local

至此运用 supervisord 控制 Shadowsocks 开机自启和后台运行设置完成。重启服务器即可。

搭建 Strongswan 实现在 iOS 上连接

补充：Linux基本命令

1.ls命令：

格式：：ls [选项] [目录或文件]

功能：对于目录，列出该目录下的所有子目录与文件;对于文件，列出文件名以及其他信息。

常用选项：

-a ：列出目录下的所有文件，包括以 . 开头的隐含文件。

-d ：将目录像文件一样显示，而不是显示其他文件。

-i ：输出文件的i节点的索引信息。

-k ：以k字节的形式表示文件的大小。

-l ：列出文件的详细信息。

-n ：用数字的UID,GID代替名称。

-F : 在每个文件名后面附上一个字符以说明该文件的类型，“*”表示可执行的普通文件;“/”表示目录;“@”表示符号链接;“l”表示FIFOS;“=”表示套接字。

2.cd命令

格式：cd [目录名称]

常用选项：

cd .. 返回上一级目录。

cd ../.. 将当前目录向上移动两级。

cd - 返回最近访问目录。

3.pwd命令

格式： pwd

功能：显示出当前工作目录的绝对路径。

vps安全设置的方法有哪些

小雨的部落阁

相关文章 8 条