Linux VPS 服务器通过其内置的 Linux 安全模型提供比 Windows 系统更好的安全性。然而,没有一个系统是万无一失的。黑客每天主动扫描数百万台服务器,寻找漏洞以利用敏感数据或利用服务器进行大规模攻击。
了解如何保护 Linux 服务器的安全需要经过深思熟虑的配置。全新 VPS 安装的默认设置优先考虑可访问性而不是安全性。了解如何保护 Linux 服务器实施的安全,防止不断变化的威胁,同时维护系统功能。本指南向您展示了保护 Linux 服务器基础设施并将易受攻击的系统转变为抵御常见攻击的堡垒的 20 个基本步骤。
什么是 Linux VPS?
Linux VPS(虚拟专用服务器)运行在云平台上,具有与其他用户分开的专用资源。与共享主机(其中一个受感染的帐户可能会影响其他帐户)不同,安全的 VPS 主机会隔离您的环境。然而,攻击者仍然以不安全的 VPS 服务器为目标来窃取数据、安装恶意软件或对其他系统发起攻击。
当您订购时 购买Linux VPS 托管时,操作系统预装了基本设置。这些默认配置优先考虑易用性而不是安全性,使您的服务器面临扫描常见漏洞的自动攻击。使用 VPS 服务器实施安全云数据需要除基本安装之外的主动措施。
为什么您应该保护您的 Linux VPS
不安全的服务器在上线后数小时内就会成为目标。组织现在面临着 平均每周 1,876 次网络攻击,较上年增长75%。了解如何保护 Linux 服务器基础设施的安全,防范这些可能危害您的系统的持续威胁。
最危险的方面是复杂的攻击常常未被发现。攻击者可能会在没有明显入侵迹象的情况下访问您的数据、监控通信或使用您的服务器资源。安全的 VPS 托管需要采取主动措施,因为攻击者不会宣布他们的存在 - 当您注意到异常活动时,可能已经造成重大损害。
Linux 安全模型 (LSM)
Linux 包含内置安全功能,可拒绝对关键系统组件进行未经授权的访问。带图表的 Linux 安全模型显示了访问控制如何保护文件、进程和用户交互。这会创建多个安全层,与其他操作系统相比,使利用更加困难。
然而,LSM 无法防止由不良配置、弱密码或过时软件引起的攻击。它们为如何保护 Linux 服务器提供了基础,但需要正确的实施才能有效 Ubuntu VPS 托管 和其他 Linux 发行版。
保护 Linux VPS 的 20 种方法
这些安全措施从基本配置更改发展到高级监控系统。掌握如何保护 Linux 服务器环境需要系统地实施这些步骤,以构建能够抵御常见攻击媒介的安全 Linux 服务器。
每种技术都针对攻击者经常利用的特定漏洞。这些方法涵盖从每台服务器所需的基本配置到用于高级威胁检测的复杂监控系统。一些措施提供即时保护,而另一些措施则创造长期的安全弹性。实施顺序很重要——基本的强化步骤应先于高级监控工具。这 20 种策略共同创建了重叠的安全层,显着减少了服务器的攻击面。
1. 保持软件最新
过时的软件包含攻击者可利用的已知安全漏洞。软件开发人员定期发布修复这些漏洞的补丁,使更新成为保护 Linux 服务器系统安全的第一道防线。
配置关键安全补丁的自动更新:
# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# CentOS/RHEL
sudo yum update -y设置可用更新的电子邮件通知,以随时了解需要手动审核的安全补丁。
2. 禁用root登录
每个 Linux 服务器都包含一个具有无限系统访问权限的“root”用户帐户。由于黑客知道该帐户始终存在,因此他们将其作为目标 暴力攻击 猜测密码并获得完整的服务器控制权。
在禁用 root 访问权限之前创建一个新的管理用户:
# Create new user
sudo adduser adminuser
sudo usermod -aG sudo adminuser
# Disable root login in SSH configuration
sudo nano /etc/ssh/sshd_config
# Change: PermitRootLogin no
sudo systemctl restart sshd这迫使攻击者猜测用户名和密码,从而显着提高安全性。
3. 生成SSH密钥对
基于密码的登录,尤其是密码较弱的登录,可能是一个漏洞。 SSH 密钥身份验证提供了更安全的替代方案。通过使用加密密钥而不是密码,您可以确保更强大且难以破解的身份验证方法。
鉴于以下情况,此安全措施尤其重要 24% 的数据泄露事件中,被盗凭证成为初始攻击媒介 根据安全研究。与任何其他方法相比,检测和遏制这些攻击所需的时间更长,因此通过 SSH 密钥进行预防至关重要。
生成 SSH 密钥对以进行安全身份验证:
ssh-keygen -t rsa -b 4096
ssh-copy-id username@server-ipSSH 密钥的长度可达 4096 位,这使得它们比复杂的密码更加安全。
4.启用双因素身份验证
双因素身份验证在密码之外添加了第二个验证步骤。即使攻击者获取了您的密码,如果没有第二个身份验证因素,他们也无法访问您的服务器。
安装并配置双因素身份验证:
sudo apt install libpam-google-authenticator
google-authenticator配置您的移动身份验证器应用程序以生成基于时间的代码以进行服务器访问。
5. 更改SSH端口
默认 SSH 端口 (22) 不断接收来自自动扫描工具的攻击尝试。更改为自定义端口可以减少遭受这些自动攻击的风险。鉴于 全球数据泄露平均成本达 488 万美元 到 2024 年,即使是端口更改等简单的安全措施也能提供针对自动化威胁的宝贵保护。
对于大多数 Linux 发行版:
sudo nano /etc/ssh/sshd_config
# Find: #Port 22
# Change to: Port 2222 (choose a port between 1024-65535)
sudo systemctl restart sshd对于 Ubuntu 23.04 及更高版本:
sudo nano /lib/systemd/system/ssh.socket
# Update ListenStream=2222
sudo systemctl daemon-reload
sudo systemctl restart ssh.service重要的: 在关闭当前会话之前测试新端口:
# Test connection in a new terminal
ssh username@server-ip -p 2222更新您的防火墙规则以允许新端口:
sudo ufw allow 2222
sudo ufw delete allow 22 # Remove old rule after testing请记住在连接时指定新端口: ssh 用户名@服务器IP -p 2222
6. 禁用未使用的网络端口和 IPv6
开放的网络端口为攻击者提供了入口点。每个正在运行的服务都会产生潜在的漏洞,因此请禁用不必要的服务及其关联的端口。
查看当前开放的端口:
sudo netstat -tulpn
# Alternative command
sudo ss -tulpn使用 iptables 管理防火墙规则并关闭不必要的端口。
如果不需要,禁用 IPv6:
sudo nano /etc/sysctl.conf
# Add these lines:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
# Apply changes
sudo sysctl -p
# Verify IPv6 is disabled
cat /proc/sys/net/ipv6/conf/all/disable_ipv6
# Should return 1更新网络配置(找到您实际的 netplan 文件):
# Find netplan configuration files
ls /etc/netplan/
# Edit your specific configuration file
sudo nano /etc/netplan/[your-config-file].yaml
# Comment out IPv6 configuration lines
sudo netplan apply7. 配置防火墙
防火墙控制哪些网络流量可以到达您的服务器。它们阻止未经授权的连接,同时允许合法流量通过指定端口。
快速 UFW 设置:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enable基本防火墙规则:
| 目的 | 命令 | 结果 |
| 允许 HTTP | 须藤 ufw 允许 80 | 允许的网络流量 |
| 允许 HTTPS | 须藤 ufw 允许 443 | 保护网络流量 |
| 允许自定义 SSH 端口 | 须藤 ufw 允许 2222 | 自定义端口上的 SSH |
| 阻止特定IP | sudo ufw 拒绝来自 192.168.1.100 | IP完全被封锁 |
检查防火墙状态:
sudo ufw status verbose此配置会阻止除 SSH 连接之外的所有传入流量。
8. 安装反恶意软件和防病毒应用程序
Linux 系统可能会受到窃取数据、挖掘加密货币或向攻击者提供后门访问的恶意软件的感染。反恶意软件软件会在这些威胁危害您的系统之前检测并删除它们。
安装 ClamAV 进行全面病毒扫描:
sudo apt install clamav clamav-daemon clamav-freshclam
sudo freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl start clamav-freshclam对关键目录运行手动扫描:
sudo clamscan -r /home --infected --remove --bell
sudo clamscan -r /var/www --infected --remove为了增强保护,请与 ClamAV 一起安装 Maldet:
# Verify URL availability before downloading
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
sudo ./install.sh
# Note: Always verify download URLs from official sources before use使用 cron 安排每日自动扫描:
# Add to crontab: Daily scan at 2 AM
0 2 * * * /usr/bin/clamscan -r /home --quiet --infected --remove9. 安装 Rootkit 扫描程序
Rootkit 是隐藏在操作系统深处的恶意程序,通常不会被标准防病毒软件检测到。它们可以为攻击者提供对您系统的持久访问,同时对正常检测方法来说保持不可见。
安装并配置 Chkrootkit 以进行 Rootkit 检测:
sudo apt install chkrootkit
sudo chkrootkit | grep INFECTED安装 RKHunter 以获得额外的 Rootkit 保护:
sudo apt install rkhunter
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check创建每周自动 Rootkit 扫描:
# Add to crontab: Weekly rootkit scan every Sunday at 3 AM
0 3 * * 0 /usr/bin/rkhunter --cronjob --update --quiet
0 4 * * 0 /usr/bin/chkrootkit | grep INFECTED > /var/log/chkrootkit.log如果检测到 Rootkit,请立即隔离服务器并考虑完全重新安装操作系统,因为在保持系统完整性的同时完全删除 Rootkit 可能非常困难。
10.使用Fail2Ban进行入侵防御
Fail2Ban 监视登录尝试并自动阻止显示恶意行为的 IP 地址,例如重复失败的登录尝试。
快速安装:
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local基本 SSH 保护设置:
[sshd]
enabled = true
port = ssh
maxretry = 3
bantime = 3600
findtime = 600关键配置值:
| 环境 | 价值 | 意义 |
| 最大重试次数 | 3 | 禁令前尝试失败 |
| 班泰姆 | 3600 | 禁令时长(1小时) |
| 寻找时间 | 600 | 时间窗口(10分钟) |
启动并启用:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban检查被禁止的IP:
sudo fail2ban-client status sshd11.开启SELinux
安全增强型 Linux (SELinux) 提供强制访问控制,限制程序可以执行的操作,即使它们受到损害。它在标准 Linux 权限之外创建了一个额外的安全层。
检查并启用 SELinux:
sestatus
sudo setenforce enforcingSELinux 策略可防止受感染的应用程序访问未经授权的系统资源。遵循这些 充分利用 SELinux 的简短说明 以获得最佳配置。
12. 保护文件、目录和电子邮件
加密敏感文件以防止未经授权的访问,即使攻击者获得了系统访问权限也是如此。这对于处理敏感数据的安全文件服务器 Linux 配置至关重要。
使用GPG进行文件加密:
gpg --cipher-algo AES256 --compress-algo 1 --s2k-mode 3 --s2k-digest-algo SHA512 --s2k-count 65536 --symmetric filename设置适当的文件权限以限制访问:
chmod 600 sensitive-file # Owner read/write only
chmod 700 private-directory # Owner access only13.定期备份
定期备份可确保您可以从安全事件、硬件故障或意外数据丢失中恢复。自动备份可降低人为错误的风险,并构成安全 VPS 托管策略的关键组成部分。
创建自动备份脚本:
#!/bin/bash
tar -czf /backup/$(date +%Y%m%d)-system.tar.gz /home /etc /var/log遵循 3-2-1 备份规则,将备份存储在多个位置,包括异地存储。
14.创建磁盘分区
磁盘分区将系统文件与用户数据分开,从而在一个分区受到损害时限制损坏。它还可以防止某一区域的磁盘空间耗尽影响整个系统。
推荐分区方案:
/启动 – 500MB(启动文件)
/ – 20GB(系统文件)
/家 – 50GB(用户数据)
/var – 10GB(日志和数据库)
/tmp – 2GB(临时文件)
交换 – 2GB(虚拟内存)
挂载有安全限制的临时分区:
# Add to /etc/fstab for permanent mounting
echo "tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev,size=2G 0 0" >> /etc/fstab
echo "tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev,size=1G 0 0" >> /etc/fstab# 立即申请
sudo mount -a验证分区安全性:
mount | grep -E "(noexec|nosuid|nodev)"
df -h # Check disk usage by partition这 不执行 选项防止恶意可执行文件运行, 诺苏伊德 禁用设置用户 ID 位,并且 诺德夫 防止在临时目录中创建设备文件。
15.监控服务器日志
服务器日志记录所有系统活动,提供安全事件的早期预警信号。定期日志监控有助于在异常模式成为严重威胁之前识别它们。
要监控的关键日志:
| 日志档案 | 目的 | 命令 |
| /var/log/auth.log (Debian/Ubuntu)<br>/var/日志/安全 (CentOS/RHEL) | 登录尝试 | sudo tail -f /var/log/auth.log<br>sudo tail -f /var/log/secure |
| /var/log/系统日志 (Debian/Ubuntu)<br>/var/日志/消息 (CentOS/RHEL) | 系统消息 | sudo tail -f /var/log/syslog<br>sudo tail -f /var/log/messages |
| /var/log/apache2/access.log (Debian/Ubuntu)<br>/var/log/httpd/access_log (CentOS/RHEL) | 网络流量 | sudo tail -f /var/log/apache2/access.log<br>sudo tail -f /var/log/httpd/access_log |
| /var/log/fail2ban.log | 被封锁的IP | sudo tail -f /var/log/fail2ban.log |
快速日志分析命令:
# Failed login attempts (adjust path for your distribution)
sudo grep "Failed password" /var/log/auth.log | tail -10
# Successful logins
sudo grep "Accepted" /var/log/auth.log | tail -10
# Large file transfers (adjust path for your web server)
sudo awk '{print $10}' /var/log/apache2/access.log | sort -n | tail -10自动日志监控:
# Install logwatch for daily summaries
sudo apt install logwatch
sudo logwatch --detail Med --mailto [email protected] --service All设置日志轮换以防止日志文件占用过多磁盘空间。
16.使用强密码
强密码可以抵御暴力攻击和字典攻击。使用现代计算能力可以在几分钟内破解弱密码。
密码要求:
- 最少 12 个字符
- 大写、小写、数字和符号的混合
- 没有字典单词或个人信息
- 每个帐户都是唯一的
使用密码管理器安全地生成和存储复杂的密码。与其他具有图原理的 Linux 安全模型相结合,强密码形成多个防御层,防止未经授权的访问。
17. 优先选择 SFTP 而不是 FTP
标准 FTP 以纯文本形式传输数据和凭据,使网络窃听者可以看到它们。 SFTP 对所有数据传输进行加密,保护敏感信息并支持安全文件服务器 Linux 架构。
配置仅 SFTP 访问:
sudo nano /etc/ssh/sshd_config
# Add: Subsystem sftp internal-sftp禁用标准FTP服务以消除安全风险:
sudo systemctl disable vsftpd
sudo systemctl stop vsftpd18.启用CMS自动更新
内容管理系统(WordPress、Drupal、Joomla)经常发布安全补丁。启用自动更新可确保及时修补关键漏洞。
对于 WordPress,添加到 wp-config.php:
define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');监视更新日志以确保兼容性和功能。
19. 禁用匿名 FTP 上传
匿名 FTP 允许任何人无需身份验证即可将文件上传到您的服务器。这可能会导致您的服务器托管非法内容、恶意软件或成为攻击的分发点。
配置 vsftpd 要求身份验证:
sudo nano /etc/vsftpd.conf# 禁用匿名访问
anonymous_enable=NO# 启用本地用户认证
local_enable=YES
write_enable=YES
local_umask=022# 限制用户只能访问其主目录
chroot_local_user=YES
allow_writeable_chroot=YES# 安全设置
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO重新启动 FTP 服务:
sudo systemctl restart vsftpd
sudo systemctl enable vsftpd创建具有受限权限的 FTP 用户帐户:
sudo adduser ftpuser
sudo usermod -d /var/ftp/uploads ftpuser
sudo chown ftpuser:ftpuser /var/ftp/uploads
sudo chmod 755 /var/ftp/uploads监控 FTP 访问日志是否存在可疑活动:
sudo tail -f /var/log/vsftpd.log20. 配置暴力保护
在 Fail2Ban 之外实施多层强力保护,以防御复杂的自动攻击。
配置附加保护:
# Limit SSH connection attempts
sudo nano /etc/ssh/sshd_config
# Add: MaxAuthTries 3
# Add: ClientAliveInterval 300
# Add: ClientAliveCountMax 2将 DenyHosts 等工具与 Fail2Ban 一起使用以实现全面保护。
结论
确保 Linux VPS 的安全需要实施多个防御层,从基本配置更改到高级监控系统。从基本的安全措施(软件更新、防火墙配置、SSH 强化)开始,然后再添加入侵检测和自动监控等复杂工具。
安全的 Linux 服务器需要持续维护,而不是一次性配置。随着威胁的发展,定期检查日志、更新软件并调整安全措施。对适当安全配置的投资可以防止代价高昂的数据泄露并保持系统可靠性。
请记住,这些安全措施是协同作用的——没有一种技术可以提供完整的保护。实施所有 20 种策略会创建重叠的安全层,从而显着降低服务器遭受常见攻击的脆弱性。无论您需要安全的文件服务器 Linux 配置还是一般安全的 VPS 托管保护,这些基本步骤都可以提供基本的安全性。
