安全是一個遠端桌面最基本的必備條件,若您的遠端桌面三天兩頭被人攻破,那麼對于網站來說也沒什麼意義了,是以,在建立了Web伺服器之後,您首先要做的事情就是将您的遠端桌面加強,至少讓普通黑客沒有辦法能夠攻破您的網站。
使用者密碼
使用者密碼是一個非常重要的資訊,您在設定您的賬戶密碼時請遵循幾點原則來設定:1. 密碼不要過于簡單,至少要8位以上,且同時擁有大小寫字母+數字+特殊字元;2. 密碼不要使用統一密碼,網站密碼一個、遠端桌面密碼一個,避免黑客破解其中一個就讓您的遠端桌面全盤被破;3. 不要使用生日、電話等個人資訊作為密碼;4. 定期更換您的密碼;5. 不要把您的密碼記錄在任何别人能夠看到的地方,最好記在心裡。
删除不使用的使用者和使用者組
Linux預設自帶了一些使用者和使用者組,而這些使用者和使用者組在平時我們根本使用不到,是以,删除吧!
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp #若您需要使用匿名FTP請保留此使用者,否則删除
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers
root是Linux下權限最大的一個使用者,而也是黑客最喜歡的一個使用者,若擷取到了root權限,則代表了您的遠端桌面完全陷落,是以,将root使用者禁止登入SSH,使用另外一個使用者來管理您的遠端桌面将是一個很不錯的主意。
首先添加一個使用者
useradd iw3c #添加一個使用者iw3c
設定密碼
passwd iw3c
輸入兩次密碼就OK了。
更改SSH端口
vi /etc/ssh/sshd_config
配置如下
Port 12345 #SSH盡量設定大一點
PermitRootLogin no #禁止root登入
X11Forwarding no #禁止X11轉發
PermitEmptyPasswords no #禁止空密碼登入
AllowUsers iw3c #設定剛才建立的iw3c可以登入
重新開機下SSH
service sshd restart (/etc/init.d/sshd restart)
限制su指令
vi /etc/pam.d/su
添加如下兩行
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
執行
usermod -G10 iw3c
這樣就隻有iw3c使用者可以使用su指令了
禁止Ping
防止别人Ping通自己的伺服器是一個很不錯的安全設定,運作指令
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
這樣别人Ping自己的伺服器時就根本無法Ping通了
啟用防火牆
您可以通過設定防火牆來關閉一些不必要的端口,而每一個端口的關閉,就意味着您的伺服器更加安全一分
首先清空原有防火牆規則
iptables -F
iptables -X
iptables -Z
配置防火牆
iptables -A INPUT -p tcp -m multiport --dport 12345,80,21,22 -j ACCEPT #允許SSH端口12345、WEB端口80、FTP端口21、22開放
/etc/init.d/iptables save #儲存配置規則
service iptables restart #重新開機防火牆
使用DDOS deflate抵禦DDOS攻擊
DDOS deflate并不能完全防禦DDOS攻擊,這東西是專業的硬體防火牆來幹的事情,DDOS deflate隻能稍微抵禦一點點,但一點點也是防護不是?
http://www.inetbase.com/scripts/ddos/install.sh
chmod +x http://install.sh
./install.sh
這樣DDOS deflate就安裝好了,剩下的隻需要配置一下
vi /usr/local/ddos/ddos.conf
一般來說隻需要修改幾個配置