这是一个创建于 3913 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近打算把博客迁移到vps上,想请教下前辈。
抛砖引玉,
1.更改ssh端口
2.严格控制iptables开放的端口
3.为服务进程分配专用用户
另外,系统的选择,主要用过CentOS,Ubuntu是否更好用,刚才装MySQL,JDK1.6恶心了,yum版本太老,Oracle不允许wget,校园网络差scp太慢还容易断。是否apt-get里面版本新一些?
抛砖引玉,
1.更改ssh端口
2.严格控制iptables开放的端口
3.为服务进程分配专用用户
另外,系统的选择,主要用过CentOS,Ubuntu是否更好用,刚才装MySQL,JDK1.6恶心了,yum版本太老,Oracle不允许wget,校园网络差scp太慢还容易断。是否apt-get里面版本新一些?
第 1 条附言 · 2014-03-08 06:38:23 +08:00
另外,有用过安全狗的吗?安装了一下,感觉这个软件没有用心做,文档很旧。我装的Linux最新版,绑定它的服云平台后竟然提示我的安全狗版本过旧,点链接直接跳转到windows的下载页。
 |
1
letitbesqzr 2014-03-08 02:02:05 +08:00  1
使用密匙登录 禁止密码登录
|
 |
2
marklrh 2014-03-08 02:43:43 +08:00 1
可以看一眼这篇文章里说的:http://0v.org/installing-ghost-on-ubuntu-nginx-and-mysql/#.UxoS-eddWNs
其中有提到: SSH Hardening - disable root login and change port(禁止root登陆,更换端口) 还有什么 Install and configure Firewall - ufw 然后还有几个其他的方法 |
 |
3
blacktulip 2014-03-08 02:46:13 +08:00 1
|
 |
4
laoyu 2014-03-08 03:49:29 +08:00 1
如果只是一个个人博客且是独立的服务器。
1.建议使用类似安全宝、加速乐之类的程序。 用它不是单纯为了加速,而是为了隐藏真实IP和使用它的防注入XSS,DDOS\CC攻击等安全功能。能起到一点点作用,比在服务器上各种安全配置来的实际。 2.尽量少的使用开源程序与插件,能不用的尽量不用。 如果是Wordpress留意更新,打补丁。 3.管好自己的所有与网站有关的密码,域名、邮箱、服务器等。只要不是弱口令就行了。 4.设置好目录读写权限,不需要写入操作的目录全部设置为只读,需要写入的目录根据情况设置权限,如附件目录、图片目录,要禁止执行脚本文件。 5.根据情况设置Web程序与服务器用户权限,尽量避免直接使用root账户。 //如果只是一个个人博客,就这样随意弄弄就行了,没人搞你,避免些基本的就够了。 //如果是比较有价值的站,上面的就全忽略吧,怎么搞也没用,就看有没有人盯着你。 //如果不是独立服务器,也忽略吧,怎么搞也没啥用。 |
|
5
laoyu 2014-03-08 04:30:43 +08:00 via iPhone
抱歉,对不起,躺在床上我意识到刚才我说错话了。
我们不应该抱着“没人会黑我”、“没人会搞我”这种心态去配置安全的服务器,大多数情况下安全事件都是这样的心态造成的。 曾经发生的各种大型安全事件大多数也都是因为管理人员的大意疏忽,这就是安全的核心问题。可能一个小的细节也会被人所利用。 希望能明白意思就好!没有绝对的安全,但也不要疏忽大意! 我可能答不对题但也希望有些帮助。 |
|
6
blacktulip 2014-03-08 05:36:31 +08:00
@laoyu 没人搞是不可能的,肉鸡那是多多益善
|
 |
7
WildCat OP |
 |
8
alexrezit 2014-03-08 07:43:21 +08:00 1
ssh: 更换端口, 禁用 root 登录, 禁用密码登录.
|
 |
9
ksc010 2014-03-08 09:17:00 +08:00 1
1.上面有多个站的话一定要设置好open_base防止把程序限制到它自己的目录里面防止跨站访问别的文件
比如php可以设置 open_basedir 2.安装fail2ban防止暴利破解ssh ftp等服务帐号 3.勤更新系统 apt-get update & apt-get upgrade 4.mysql帐号多个站点一定不要设置为一样,更不能使用root了,而且权限也要限制死 5.网站使用开源程序的话,多关注更新状态,勤跟进 (比如去wooyun.com) 原来写过一篇文章 linux用户通过ssh登录后邮件提醒 http://blog.geekli.cn/archives/70 这样有账户登录自己就知道了 比较安心点 |
 |
10
ptsa 2014-03-08 09:54:52 +08:00
mark
|
 |
11
TankyWoo 2014-03-08 10:02:02 +08:00 2
|
 |
13
SoloCompany 2014-03-08 12:54:01 +08:00
Oracle 接管了 Java 之后的确干了不少让人恶心的事情,比如封掉了旧版 JDK 的下载
你封掉 1.4 或 1.5 我都忍了,连 1.6 都封真是毫无节操 不过还好能够绕过去,只需要 * 把下载路径的 otn 修改成 otp-pub * 添加 Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com 示例 - 下载 JDK6u45 ``` curl http://download.oracle.com/otn-pub/java/jdk/6u45-b06/jdk-6u45-linux-i586.bin \ -O -L -k -H "Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com” ``` |
 |
14
nanpuyue 2014-03-08 18:39:48 +08:00
禁用密码登录,全部改用密钥。
|
Select Language