如今黑客似乎无处不在。有时我弄了一台新的虚拟机,启动几分钟后,就能在日志里看到一堆垃圾信息,有人试图暴力破解。启动一个 Web 服务器,你会看到各种疯狂的请求,每个请求都指向一个不同的漏洞,有人正试图利用它们。
我们无法在一篇文章中为你提供全面的黑带安全课程,但保护你的 VPS 安全,其益处是层层递增的。你改进的前几项会给你带来巨大的好处,而当你改进到清单上的第 80 或 90 项时,你就进入了理论层面了。
那么,让我们在 10 分钟内看看我们能如何保障你的设备安全。准备好了吗?开始吧!
关闭密码验证
我们有一个关于此的教程,它应该不会占用我们一半以上的时间,如果你已经拥有 SSH 密钥,时间会更少。通过关闭密码验证并改用 SSH 密钥,你将切换到双因素身份验证。
奖励:如果您喜欢 2FA,请尝试设置Google Authenticator进行登录。
保持系统更新
具体操作取决于你的发行版。如果是 Debian/Ubuntu:
apt -y update && apt upgrade
或者甚至更好:
apt install unattended-upgrades
…这将自动运行升级。这将包含所有安全升级。因此,如果您周末外出,并在周五发现了一些漏洞,那么到周六,您的发行版很可能会将其纳入安全更新中,并在您回家之前自动应用。
如果是 CentOS/RHEL:
dnf install dnf-automatic systemctl enable --now dnf-automatic.timer
然后在 /etc/dnf/automatic.conf 中配置
apply_updates = yes
好工作!
当然,你还可以做更多:
- 设置防火墙
- 设置像 rkhunter 这样的安全工具来扫描你的系统以查找问题
- 更改 SSH 端口
- 设置 fail2ban
- 禁用未使用的服务
- 学习 SELinux 或 AppArmor 并使用它
- 监控日志
……但这一切需要超过10分钟。以上两个步骤快速简便,将为你带来巨大的优势。