Linux服务器的安全是保障您的应用和数据免受攻击的关键,尤其是在使用VPS主机时,配置合理的安全措施至关重要。本文将为您提供一个详细的Linux服务器安全配置实操指南,帮助您从SSH加固、防火墙设置到自动更新,全面提升VPS主机的安全性。
1. 更改默认SSH端口
默认情况下,SSH服务使用22端口,这使得服务器容易成为攻击目标。通过更改SSH端口可以有效降低被扫描攻击的风险。
- 编辑SSH配置文件:
sudo nano /etc/ssh/sshd_config- 更改端口:找到
#Port 22,取消注释并修改为一个不常用的端口,例如Port 2222。 - 重启SSH服务:
sudo systemctl restart sshd注意:修改SSH端口后,您需要通过新的端口连接服务器,- 例如:
ssh -p 2222 user@server_ip
2. 禁用Root账户的SSH登录
为了进一步提升安全性,建议禁用Root账户通过SSH直接登录,改用普通用户账户。
- 创建普通用户
- :
sudo adduser your_username sudo usermod -aG sudo your_username - 编辑SSH配置文件:
sudo nano /etc/ssh/sshd_config- 禁用Root登录:找到
PermitRootLogin yes,修改为PermitRootLogin no。 - 重启SSH服务:
sudo systemctl restart sshd
3. 配置防火墙(UFW)
防火墙是保护服务器免受外部攻击的重要工具。UFW(Uncomplicated Firewall)是Ubuntu系统中常用的防火墙工具。
- 安装UFW:
sudo apt install ufw- 允许必要的端口:允许SSH、HTTP和HTTPS流量:
sudo ufw allow 2222/tcp # 新的SSH端口sudo ufw allow 80/tcp # HTTPsudo ufw allow 443/tcp # HTTPS- 启用防火墙:
sudo ufw enable启用后,UFW将开始保护您的服务器,仅允许经过配置的端口访问。
4. 安装Fail2Ban防暴力破解
Fail2Ban是一种防暴力破解工具,可以自动监控日志并阻止多次失败登录的IP。
- 安装Fail2Ban:
sudo apt install fail2ban- 配置Fail2Ban:编辑默认配置文件:
sudo nano /etc/fail2ban/jail.local添加以下内容以启用SSH保护:[sshd] enabled = true port = 2222 logpath = /var/log/auth.log maxretry = 5- 启动Fail2Ban服务:
sudo systemctl start fail2ban
5. 启用自动安全更新
定期更新系统是保持服务器安全的基础。启用自动更新可以确保您的服务器及时获得最新的安全补丁。
- 安装自动更新工具:
sudo apt install unattended-upgrades- 启用自动更新:编辑配置文件:
sudo dpkg-reconfigure --priority=low unattended-upgrades- 按照提示启用安全更新,系统将自动安装重要的安全补丁。
6. 使用SSH密钥认证
相比于密码认证,SSH密钥认证更加安全。可以为服务器设置公钥认证,避免使用易被暴力破解的密码。
- 生成SSH密钥对(在本地机器上):
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"- 将公钥上传到服务器:
ssh-copy-id -i ~/.ssh/id_rsa.pub -p 2222 your_username@server_ip- 禁用密码登录:编辑SSH配置文件:
sudo nano /etc/ssh/sshd_config修改PasswordAuthentication为no,- 然后重启SSH服务:
sudo systemctl restart sshd
结语 通过本文的Linux服务器安全配置实操指南,您可以有效地提升VPS主机的安全性,防止常见的攻击风险。这些措施涵盖了从SSH加固、防火墙设置到自动更新的方方面面,帮助您全面保护服务器的安全。希望这份指南能对您有所帮助,让您的Linux服务器始终保持安全稳健的运行状态。