VPS初级安全设置


下午收到阿里云短信,说有人正在暴力破解,进入系统之后,输入

发现寡人的小机竟然也被人扫描了很多次,觉得有必要做一下安全方面的东西,非常简单,主要是ssh端口修改,禁止root远程登录,denyhosts安装,rsa密钥登录。

1、修改ssh端口

以centos为例,22端口是最常见的ssh端口,因此最容易被猜到,修改之后可以增加一定的安全性。

将“#port 22″修改为“port 1234”(即去掉#,改端口号)

然后“service sshd restart”

退出,然后重新登录

为了保险起见,可以将“#port 22”修改为两行“port 22”“port 1234”,1234测试无误后再删掉”port 22″

2、禁用远程root登录

root登录直接就获得权限,而且root这个用户名太常见了。在禁用root登录前首先一定要先增加一个普通权限的用户,并设置密码:

然后禁止ROOT远程SSH登录:

把其中的

改为

如果PermitRootLogin前面的有#的话也一定要删除掉,否则无法生效。

再重启sshd服务

以后我们便可以通过普通权限的ssh账户连接我们的vps,如果需要管理权限的话,可以用下面命令提升到root权限

如果root用户有另外一套密码的话会更加有效。

3、安装denyhosts

现在的linux一般都自带denyhosts了,如果没有,请参照CentOS/AWS编译安装LNMP环境的开头部分更新一下系统安装源。

安装之后修改下配置:

显示为,可根据自己需要修改。

完了之后

查看可以用

4、使用密钥登录,禁止密码登录

原来一直在用的AWS就是密钥登陆,安全性良好,阿里云默认是密码登录,需要自己配置密钥登录。

dsa和rsa的安全性能是一样的,用rsa和dsa密钥随你便~

上面生成过程中有无输入口令会影响今后登录在密钥之外是否需要输入口令

修改公钥文件名称、权限,并且导出私钥

下载私钥之后,最好把服务器端的私钥删掉。 如果是用的putty,要用puttygen转换为ppk文件,如果是像我一样用的bitvise,则可以直接使用。 修改ssh配置文件

重启sshd,至此完成安全设置。



发表评论

电子邮件地址不会被公开。 必填项已用*标注