VPS configuración de seguridad común (Linux)

un puerto SSH Modificar vi /etc /ssh /sshd_config encontrado en él #port 22 (línea 13), # eliminado, modificado para puerto 3333 con el siguiente comando para reiniciar el servicio SSH Nota: después de Inicia sesión con el nuevo puerto. service sshd restart En segundo lugar, la conexión de la raíz prohibición primero en añadir un nuevo 80ST cuenta, puede personalizar: 80ST useradd para Weidao contraseña de la cuenta: 80ST passwd aún modificar /etc /ssh /sshd_config archivo, línea 39: #PermitRootLogin sí, quitar la parte frontal #, y cambió de sí a no, luego reinicie el servicio SSH. En el futuro, use weidao para iniciar sesión, luego su raíz para obtener los permisos de administración ROOT. iniciar la sesión como: 80stweidao contraseña @ ip: ***** Última entrada: Mar Nov 22 de 2011 15:18:18 desde 1.2.3.4su rootpassword: *********** # RAÍZ contraseña introducida aquí está Nota en tercer lugar, el uso de simples anti-DDoS desinflar y ataques DDoS caída CC utilice el comando netstat para ver el enlace VPS actual para confirmar si el ataque: -ntu -an |  Awk ‘ {imprimir $ 5} ’ |  Corte -d: -f1 |  especie |  -c uniq |  En frente de la clase -nIP números, es decir, el número de conexiones, si el sitio normal, decenas y cien son conexión normal, pero parece que puede haber entre unos pocos cientos o miles Ken pueden establecer esta IP con su VPS Fenómeno de conexión sospechosa. Puede usar iptables BAN directamente el acceso permanente a esta IP: iptables -A -s ENTRADA 12.34.56.78 -j DROP DDos desinflan uso de software para detectar automáticamente y BAN directa a cabo el método, que debe confirmar primero iptables estado del servicio, la instalación por defecto en CentOS No puedes mirarlo. Servicio de instalación DDos estado iptables deflat: Instalación http://www.inetbase.com/scripts/ddos/install.shchmod + x install.sh./install.sh wget requiere la modificación después de /usr/local/ddos/ddos.conf, principalmente APF_BAN = 1, y se establece en 0, ya que desea usar iptables para sellar algunas conexiones sospechosas, prestar atención a EMAIL_TO = " raíz y " que tales BAN IP enviará por correo consejos: ##### Caminos de la secuencia de comandos y otros filesPROGDIR = " /usr //DDoS &" local; PROG = " /usr/local/ddos/ddos.sh" IGNORE_IP_LIST = " /usr/local/ddos/ignore.ip.list" //dirección IP de la lista blanca CRON = y " /etc/cron.d/ddos.cron" //programa de ejecución del temporizador APF = " /etc /APF /APF y " IPT = " /sbin /iptables y " ##### frecuencia en minutos para ejecutar la secuencia de comandos ##### Precaución: Cada vez que se cambia esta configuración, ejecute el script con y ndash; opción ##### cron para que la nueva frecuencia toma effectFREQ = 1 //intervalo de comprobación, predeterminada 1 minuto ##### ¿Cuántas conexiones definen un mal IP? indican que below.NO_OF_CONNECTIONS = 150 //número máximo de conexiones, más que el número IP, serán protegidos, en general, el valor por defecto a ##### APF_BAN = 1 (Asegúrese de que su versión APF es al menos 0,96) ##### APF_BAN = 0 (utiliza iptables para prohibir ips en lugar de APF) APF_BAN = 1 //Utilice APF o iptables. Se recomienda usar iptables y cambiar el valor de APF_BAN a 0. ##### MATANZA = 0 (Bad IPs son y rsquo; nt prohibido, bueno para la ejecución interactiva de la escritura) ##### MATANZA = (valor recomendado) Kill 1 = 1 //si desea enmascarar IP por defecto a ### ## se envía un correo a la siguiente dirección IP cuando una está prohibida en blanco ##### suprimiría envío de mailsEMAIL_TO = ". raíz y " uso //enviar mensajes al buzón designado cuando está blindado del IP, se recomienda, en propio buzón de ##### Número de segundos que el IP no permitidas deben permanecer en blacklist.BAN_PERIOD = 600 //desactivar la hora de IP, por defecto 600 segundos, cuatro se pueden ajustar de acuerdo a la situación, utilizando iftop vista de la instalación detallada del estado del software iftop red: yum -y install flex byacc ncurses libpcap libpcap ncurses-devel-develwget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gztar zxvf iftop-0.17.tar.gzcd iftop-0.17 ./configuremake &&make install después de la instalación, utilice iftop correr, situación vista de red. TX, el tráfico que envía; el RX, el flujo recibido; total, el caudal total; cumm, el flujo durante el funcionamiento iftop; pico, pico de flujo; tarifas, lo que representa dos segundos, 10 segundos, 40 segundos de flujo promedio. Los accesos directos: h ayuda, n pantalla de conmutación nombre de host IP, s información de si d distal si desea mostrar información, puerto de conmutación N servicio de nombres, tasa nativa, b de flujo de conmutación si la barra gráfica. Cinco, Nginx PNMB actualizar a la última versión de la última versión 0.8.53 es ahora, si en el futuro una nueva versión, siempre y cuando se puede actualizar el número de versión, SSH correr en: wget http://www.nginx.org/download/nginx- 0.8.53.tar.gztar zxvf nginx-0.8.53.tar.gzcd nginx-0.8.53./configure y ndash; user = www y ndash; grupo = www y ndash; prefix = /usr /local /nginx y ndash; con-http_stub_status_module y ndash; con-http_ssl_module y ndash; con-http_sub_modulemakemv /usr /local /nginx /sbin /nginx /usr/local/nginx/sbin/nginx.oldcd objs /cp nginx /usr /local /nginx /sbin //usr /local /nginx /sbin /nginx -tkill -USR2 `cat cat /usr/local/nginx/logs/nginx.pid`kill /usr/local/nginx/logs/nginx.pid.oldbin`/usr/local/nginx -QUIT` . /sbin /nginx -VCD ..cd ..rm-rf-nginx nginx 0.8.53rm-rf-0.8.53.tar.gz seis comando netstat de uso común: 1 Ver los 80 puertos conexiones -alias -an | Grep -i " 80 ″ | Wc-l2. Ordene la IP conectada por el número de conexiones netstat -ntu |  Awk ‘ {imprimir $ 5} ’ |  Corte -d: -f1 |  especie |  -c uniq |  Ordenar -n3.Ver el estado de la conexión TCP netstat -nat | Awk ‘ {imprimir $ 6} ’ | Ordenar | Uniq -c | Ordenar -rnnetstat -n |  awk y lsquo; /^ TCP /{++ S [$ NF]}; FIN {for (una en S) imprimir una, S [a]} ’ netstat -n |  awk y lsquo; /^ {++ tcp estado [$ NF]} /; FIN {for (clave en el estado) tecla de impresión, y " \\ t ", Estado [clave]} ’ netstat -n |  awk y lsquo; /^ TCP /{++ arr [$ NF]}; FIN {for (k en el arr) de impresión k, y " \\ t ", arr [k]} ’ netstat -n | awk y lsquo; /^ TCP /{print $ NF} ’ | Ordenar | Uniq -c | Ordenar -rnnetstat -ant |  Awk ‘ {print $ NF} ’ |  Grep -v ‘ [a-z] ‘ |  especie |  Uniq -c4. Ver las 20 principales IPnetstat -anlp | Grep 80 | Grep tcp | Awk ‘ {imprimir $ 5} ’ | awk -F: ‘ {print $ 1} ’ | Ordenar | Uniq -c | Ordenar -nr | Jefe -n20netstat -ant | awk y lsquo; /: 80 /{split ($ 5, ip, y ": y "); ++ A [IP [1]]} END {for (i en A) de impresión A, i} ’ | Ordenar -rn | . Jefe -n205 ver quién es el más alto tcpdump -i eth0 -tnn DST puerto con tcpdump visita succionador de 80 puertos 80 -c 1000 |  . Awk -F y " " ‘ {print $ 1 ″ " $ 2 ″ " $ 3 y el primer; " $ 4 ...} ’ |  especie |  -c uniq |  Ordenar -nr | . Jefe -206 encontrar conexiones más TIME_WAIT netstat -n | grep TIME_WAIT | awk y lsquo; {print $ 5} ’ | especie | -c uniq | Ordenar -rn | . Jefe -n207 búsqueda para encontrar más conexiones SYN netstat -an |  grep SYN |  awk y lsquo; {print $ 5} ’ |  awk -F: ‘ {print $ 1} ’ |  especie |  -c uniq |  Ordenar -nr |  más