尽管一台物理机可以分割成多个虚拟服务器,VPS主机所支持的虚拟化技术可以实现完全隔离的环境。与共享服务器相比,它是一种更安全的设置,但是这不意味着的服务器就安全了,想要达到更高保护级别,我们还应该采取更多的防护措施,接下来小编就带大家了解如何保护自己的VPS,列举出主要的12种VPS服务器防护措施。
12种VPS服务器防护措施
1.设置防火墙
防火墙是系统管理员用来保护服务器和过滤网络访问的首批工具之一。它的作用是遵循预设的策略,阻止恶意流量进入,让正常流量进入。
由于我们讨论的是 cPanel VPS 平台,您的虚拟服务器运行Linux并具有一个名为Iptables的防火墙实用程序。您可以尝试自行配置它,但由于您拥有 cPanel 和 WHM,因此最好通过其直观的图形用户界面 (GUI) 进行导航。
许多 Linux 服务器所有者使用ConfigServer Security & Firewall (CSF)。您需要 root 用户权限和一些命令才能将其安装在服务器上,然后可以通过 WHM 激活和配置它。由于它使用非常广泛,因此网上有很多关于如何正确设置它的信息。
CSF 已证明其作为防火墙实用程序的价值,如果有人决定对您的服务器发起DDoS 攻击,它可以极大地帮助您。
一个好主意是安装一个Web 应用程序防火墙 (WAF)来保护您的网站免受跨站点脚本攻击、SQL 注入和其他攻击。
市场上有不少 WAF,但ModSecurity仍然是许多人的最爱。它受欢迎的一个原因是它与WHM 和 cPanel轻松集成。ModSecurity 是 Apache 模块的一部分,您只需单击几下鼠标即可在 WHM 中激活它。
除了安全解决方案之外,还要确保设置适当的防火墙规则。
2.恶意软件和病毒防护
运行 Linux VPS 服务器意味着您面临的安全问题比使用 Windows 机器时要少。
运行虚拟服务器时如果没有恶意软件扫描程序定期检查恶意代码和受感染的文件则是十分危险的。
对于带有 cPanel 的 Linux 服务器,最流行的两个恶意软件扫描程序是ClamAV和ImunifyAV。
吸引力在于,这两款产品都与 WHM 和 cPanel 实现了相对无缝的集成。两者都可以在 WHM 中激活,并且具有几乎相同的恶意软件检测能力。
话虽如此,尽管有一些 GUI 选项,但正确配置 ClamAV 可能需要一些命令行工作。与此同时,ImunifyAV更易于使用,但您只能通过 WHM 启动其扫描。此外,免费版本缺少一些基本功能。
3.垃圾邮件过滤器
尽量减少收件箱中未经请求的电子邮件数量至关重要。如果您没有任何保护措施,垃圾邮件很快就会填满您的帐户配额,让您错过重要的沟通。
在企业环境中,垃圾邮件过滤器甚至更为重要。攻击者经常针对喜欢点击的员工发起网络钓鱼活动,其结果有时可能是毁灭性的。
重要提示:WHM 和 cPanel 附带 Apache 的SpamAssassin – 一款久经考验的垃圾邮件过滤器,通常在 Linux VPS 上预安装并默认启用。如果您怀疑它可能无法正常工作,您可以随时在WHM 的服务管理器中检查它是否已打开。
个人 cPanel 用户还有另一种过滤垃圾邮件的方法。您可以利用名为BoxTrapper的工具,在将可疑邮件发送到收件人的收件箱之前,要求发件人采取额外措施。这样做的目的是阻止自动脚本发送的垃圾邮件。
4.强密码
据Verizon称,约81% 的数据泄露都是由于弱密码造成的,这凸显了人们缺乏对登录凭证重要性的重视。
随着敏感数据四处泄露,问题已不再仅仅与弱密码有关。跨平台使用相同的密码同样危险,因为它们使黑客能够利用一次数据泄露来入侵多个帐户。
多年来,VPS 安全专家一直提倡使用信誉良好的密码管理解决方案来创建和存储登录凭据。市场上有很多免费和付费选项,它们都保证您能够使用独特的、无法猜测的密钥保护您的帐户。
作为另一项预防措施,您可以使用 WHM 和 cPanel 的双因素身份验证系统。有了它,每次您尝试登录 WHM 或 cPanel 时,除了有效的用户名和密码身份验证外,您还需要提供临时安全代码。这样做的目的是,窃取了您的登录凭据的黑客将无法在没有您的手机设备的情况下访问您的服务器。
5.限制根访问
默认情况下,您可以使用任何 IP 地址来管理 Linux VPS。如果您在移动中处理网站,这很方便,但这绝不是正确保护 VPS 服务器的最佳方法。此外,您更有可能以 root 用户身份从具有静态 IP 的单个网络控制服务器。
WHM 的主机访问控制让您可以选择允许或拒绝单个 IP 访问以下服务:
- 控制面板
- 身高体重
- SSH 访问
- FTP 和安全 FTP
- 邮件传输协议
- 信息访问协议
- POP3
- 网络邮件
- 网络磁盘
使用主机访问控制工具,您可以阻止黑客执行根级命令。您只需小心不要打扰需要访问 VPS 或网站后端的其他用户的工作。
6.更改默认SSH监听端口
您的服务器通过监听端口与 SSH 服务进行通信。默认情况下,此端口设置为 22。问题是,几乎每个黑客和机器人都知道这一点,因此如果有人想攻击您,这将是他们首先要查看的地方之一。
为了防止通过 SSH 端口进行自动攻击和破坏,您可以执行以下命令:
vim /etc/ssh/sshd_config
重要提示:此特定文本编辑器使用“vim”前缀。如果您正在使用其他编辑器,请将 vim 替换为其名称。
在配置文件中,找到类似以下内容的一行:
#我们监听端口 22 的端口、IP 和协议
您可以在此处更改 SSH 端口号。请确保选择系统中尚未分配给其他设备的未使用网络端口。
7.防止黑客暴力攻击
暴力攻击是黑客获取网络服务器访问权限的最常用工具之一。他们使用的工具会尝试输入数千个密码组合,以试图猜出正确的密码。这种方法对字符数较少的密码尤其有效,但如果有足够的时间,最终甚至可以破解更长的凭证。
那么,您可以做些什么来应对暴力攻击呢?
首先,您可以返回到有关强密码的部分,因为这是减缓攻击者的重要防线。限制登录尝试次数是另一个可以产生奇效的技巧,因为您的系统会在几次失败的尝试后自动锁定。
至于额外的帮助,安装像Fail2Ban这样的入侵防御 Web 服务器软件总是值得考虑的。该工具会扫描您的日志文件,寻找任何恶意迹象,例如登录尝试次数过多。然后它会禁止所有可疑 IP,帮助您阻止攻击。
8.保持更新
大多数现代网站都是使用内容管理系统构建的。网站所有者通过点击式后端界面管理网站,几乎不需要任何技能即可浏览。
然而,在这背后,有数百万行代码。一些错误不可避免地会出现,它们很容易为攻击者打开大门。
开发人员花费大量时间识别安全漏洞并制作补丁。不过,安装服务器安全补丁是您的责任,您应该在补丁发布后立即安装。
确保尽可能保护您的唯一方法是定期更新服务器上的每个软件和相关插件。此外,避免安装将来可能被用作后门的不必要的软件。
重要提示:Cpanel 的自动更新默认启用,如果您使用 WordPress,则可以使用WordPress Toolkit。它具有针对 CMS 核心、主题和插件的自动更新功能。
9.安全的异地备份
在网络世界中,你不能想当然,你必须做好最坏的准备。你可能已经知道你需要随时备份你的数据,但你必须记住这还不够。
如果您将备份保存在同一个 VPS 上,潜在的硬件故障可能会导致终端数据丢失。您的家用计算机可能看起来像是一个替代选择,但它并不那么可行,特别是当您的网站很大时。
最好的办法是将备份存储在远程服务器上。
您无需安装任何额外的工具或服务即可拥有自动异地备份系统。通过 WHM 的备份配置界面,您可以根据您的确切要求配置服务器的计划备份,并安排系统将存档的站点副本发送到您选择的远程服务器。
10.SSL 证书
SSL证书 利用传输层安全性 (TLS) 协议来加密网站访问者和主机服务器之间的信息流。如果没有它们,数据将以纯文本形式传输,很容易被拦截或更改。
SSL 证书还可以验证网站的身份并确认访问者与正确的 Web 服务器的连接。
过去,获取 SSL 证书需要花费很多钱,并且安装通常由主机服务提供商的支持团队手动完成。然而,如今,像Let’s Encrypt这样的证书颁发机构提供免费的 SSL 证书。借助 WHM 的AutoSSL工具,跨不同项目部署证书完全自动化。
Cpanel 还具有SSL 管理器,可让您控制各个网站的证书。
11.服务器监控
如果您发现 Linux VPS 存在问题,您需要能够快速确定问题所在。即使一切看起来都很好,您也必须能够轻松访问分析数据,准确了解服务器的运行情况以及可能需要改进的地方。
WHM 拥有所有这些数据以及更多信息。
它集成了多种不同的工具,为您提供 一段时间内 资源使用情况、 正常运行时间 和 平均负载的重要信息。您还可以查看所有正在运行的服务、 进程及其 状态。
有了所有这些信息,您可以深入了解您使用 Web 服务器的情况,制定发展计划,并且最重要的是发现潜在的 VPS 安全问题。
12.使用公共Wi-Fi时要小心Evil Twins
在公共 Wi-Fi 上登录主机服务器或帐户时,您必须格外小心。此类网络的众多危险之一就是所谓的“邪恶双胞胎”。
Evil Twins与典型的网络钓鱼诈骗非常相似。但黑客不会设置虚假网站来引诱您,而是配置虚假的 Wi-Fi 点。用户在使用这种欺诈性无线连接时输入的任何内容都会直接落入攻击者手中。
Evil Twin 网络很难被发现,特别是如果你是一个没有经验的用户。这就是为什么你必须非常小心,避免使用免费网络、公共热点和听起来很搞笑的 Wi-Fi 名称。此外,你可以使用可靠的VPN平台为你的连接提供额外的保护。
结论
安全性是运行虚拟专用服务器的一个重要方面,您需要考虑很多事情,尤其是在自管理 VPS 上。为了妥善保护您的服务器,您必须知道主要威胁是什么,这样您就可以制定一个涵盖尽可能多场景的策略。
这听起来像是一项极其复杂的工作,选择一个安全可靠的VPS服务商可以让您的服务器管理更加轻松。
常问问题
问: 我的 VPS 上需要 WHM 和 cPanel 吗?
答:严格来说,您的 VPS 不一定需要 WHM 或 cPanel。还有许多其他网站主机控制面板可以帮助您管理虚拟服务器,您甚至可以尝试在没有此类面板的情况下操作一切。
然而,WHM/cPanel 的广泛工具和功能使该管理平台成为数百万网站所有者的最爱。
问: 有哪些比较安全可靠的VPS服务商?
答:像萤光云、lightnode这些超过20年服务器运营经验并且拥有专业的安全技术团队的都是比较安全可靠的。
问: VPS服务器存在哪些安全威胁?
答:虚拟专用服务器相当于一台独立的物理机器。专用服务器面临的所有在线威胁也适用于 VPS 机器,这意味着正确的配置和安全设置绝对必不可少。
安全设置不佳、密码薄弱、缺乏安全更新以及使用未经授权的软件只是黑客用来入侵您的帐户和网站的部分漏洞。
问: 为什么我应该选择主机 VPS 安全?
答:如果您不熟悉 Web 服务器管理,并且背后没有经验丰富的开发人员,那么最好的选择是主机 VPS 服务。
有了这种类型的网络主机,您的提供商会为您处理大部分安全问题 – 从初始操作系统配置和服务器软件设置到主动监控和恶意软件预防。支持团队还可以解决其他技术问题,让您在 VPS 上建立在线业务时高枕无忧。