看到有同学讲到VPS安全方面的,我也说说,推荐给大家一个软件 CSF http://configserver.com/cp/csf.html
这两年使用了很多国外的虚拟主机,发现他们的服务器上都几乎都有安装这个软件。这个软件也可以安装在VPS上的,给你的VPS安全加上一道安全锁。
比如说只开通某些端口、监控进程/可疑文件、屏蔽端口扫描的IP 、监控负载报警,某种程度抵御各种攻击,以及一些异常发送邮件通知等等,这个软件都可以做到。如果通过各种命令来完成这些操作,很多新手可能不懂。
CSF可以安装在centos redhat 上面,完全支持xen、kvm虚拟架构的VPS,openvz也可以安装,有小部分功能用不了。如果VPS或服务器上安装有cpanel directadmin webmin控制面板,还可以使用图形界面来配置,非常直观。如果没有的话,也可以修改CSF的配置文件来实现。
安装很简单。- wget http://www.configserver.com/free/csf.tgz
- tar -xzf csf.tgz
- cd csf
- sh install.sh
复制代码 安装后运行下面的命令检查是否正常。- perl /usr/local/csf/bin/csftest.pl
复制代码 如果是openvz 可能会有一两个错误提示,不过没关系,大部分功能还是可以使用的。
接下来开始配置CSF ,要修改的是这个文件 /etc/csf/csf.conf ,修改之前先备份- cp /etc/csf/csf.conf /etc/csf/csf.conf.bak
复制代码 然后就可以开始了。安装后默认是测试模式,你要将改成CSF才能正常工作,一般来说默认的配置也是可以的正常使用的,这是针对大多数服务器通用的配置,但是每个人的需求可能不一样,可以阅读CSF的帮助文档进行更改- http://configserver.com/free/csf/readme.txt
复制代码 讲一下最常用的修改 ,修改端口,只运行哪些端口是开启的。其余的端口都禁用。比如说关于端口部分可以改成下面这样子 ,只留下80端口和ssh端口,如果还需要那些端口可以自己添加, 比如说要使用ssl证书,就要把443端口加上去。- # Allow incoming TCP ports
- TCP_IN = "80,4789"
- # Allow outgoing TCP ports
- TCP_OUT = "80"
- # Allow incoming UDP ports
- UDP_IN = ""
- # Allow outgoing UDP ports
- # To allow outgoing traceroute add 33434:33523 to this list
- UDP_OUT = ""
复制代码 设置最大的屏蔽IP数量 有临时和永久两种,最大值是1000个- DENY_IP_LIMIT = "100"
- DENY_TEMP_IP_LIMIT = "100"
复制代码 如果你不想某些IP访问你的网站,你可以把IP添加到这个文件可以设置某个IP的最大连接数设置负载达到多大的时候发邮件通知你 ,比如负载达到4的时候。还有其他的很多功能可以使用,具体可以参考CSF的readme文档 http://configserver.com/free/csf/readme.txt
修改后记得重启csf 使新设置生效。如果是使用cpanel da 或者是webmin ,csf有一个图形界面可以提示服务器上存在的不安全配置,并告诉你要去修改哪里,非常好用。
纯手打,如果这个对你有用,加点分把,
|