我正在运行VPS,部署了一些项目。 由于我是唯一访问服务器的人,而且我有一个固定的IP,所以我决定configurationiptables,这样服务器访问只能从我的固定IP访问。
因为我非常关心安全问题,所以当我只有我的固定IP有权访问时,我不确定是否需要额外的东西来保护我的服务器。
是否有额外的安全改进,我不得不考虑?
我用同样的措施,睡得更好!
提示1:你应该有一个真正的工作恢复能力的提供者。 我有一个,用过一次。 我一直听到只有恢复能力的供应商的传言。
无论您采取什么措施,您都可能遭到黑客入侵,它可能通过服务器公司的黑客入侵笔记本电脑,服务器软件公司,某些Linux漏洞等等。您可能永远不知道如何。 被黑客入侵的或根目录的vps帐户的解决scheme只有一个,可以从估计的干净date的备份中完全还原。
提示2:关于软件密码,要注意疲惫的日子,“我会在几分钟内更换密码”,旧的不用的不重要的留给cms网站,而这些网站既不检查也不更新。
我的小经验是,攻击,如果有的话,将来自网站软件。 或者至less,这是你的网站托pipe公司会被指责的。
使用ip规则保护root可防止攻击者使用SSH获得root访问权限。 但是现在当vps被黑客攻击时,有效载荷就是网站本身,数据库中的电子邮件,黑客感染的php文件。 谁在乎根访问,有点。 但是你是对的,被黑客攻击是一回事,另一件事要根深蒂固。
小心这样:当一个人有很多项目,并且在一个testing项目上工作很忙的时候,一个忙碌的一天,一个人不会为寻找一个长密码而困扰,或者不能再困扰另一个pipe理员login而不是“pipe理员。 有人认为稍后会改变它。 而这个错误通常就足够了。
您必须没有关于您的所有cms密码的exception政策,切勿使用admin作为pipe理员用户名,并尽可能地更新您的软件。
提示3:Iptables防火墙规则,它们可能不能保护来自不同IPS的VPS GUI区域login。
例如,可以使用etc / hosts.allow文件来过滤sshlogin和pipe理面板login。 你应该要求支持来做,然后自己检查一下这个文件。
提示4:加强网站之间的账户分离。
Cpanel或者任何其他的帐号,默认的帐号间隔在2013年都很弱。一个帐号被攻入>脚本人在几分钟内到达所有帐号>到达所有数据库>服务器和root一样好。 请参阅http://forums.cpanel.net/f185/solutions-handling-symlink-attacks-202242.html 24页的恐惧。 解决scheme:请求您的虚拟主机安装符号链接攻击防护,如果可能的话还要安装chmod 600 for config.php和任何其他数据库信息文件( http://whmscripts.net/misc/2013/apache-symlink-security-issue-fixpatch/ )。
//some symlink protection between user accounts, if you know what you are doing //list files: web root > find -type f -regex ".*config.php" -exec ls -lh {} \; //change permissions find -type f -regex ".*config.php" -exec chmod 600 {} \; 有很多事情要考虑,但这取决于你想要保护什么样的设置。
这里有几件事情要考虑:
出于发展目的,通过IP进行限制足以防止大多数恶意方。 但是,您仍然应该关心来回发送明文信息。 如果可能,请始终使用encryption通道与服务器进行交互:用于pipe理和文件传输的SSH,HTTPS等
有关这方面的更多信息,请参阅以下答案: 保护LAMP服务器的提示 。