linux VPS常用平安设置_第1页
linux VPS常用平安设置_第2页
linux VPS常用平安设置_第3页
linux VPS常用平安设置_第4页
linux VPS常用平安设置_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、linux VPS常用平安设置linux VPS常用安全设置一、修改SSH端口vi /etc/ssh/sshd_config找到其中的#Port 22(第13行),去掉#,修改成Port 3333使用如下命令,重启SSH服务,注:以后用新端口登陆。service sshd restart二、禁止ROOT登陆先添加一个新帐号80st ,可以自定义:useradd 80st给weidao 帐号设置密码:passwd 80st仍旧是修改/etc/ssh/sshd_config文件,第39行:#PermitRootLogin yes,去掉前面的#,并把yes改成no,然后,重启SSH服务。以后,先使用

2、weidao 登陆,再su root即可得到ROOT管理权限。login as: 80stweidaoip password:*Last login: Tue Nov 22 15:18:18 2011 from su rootPassword:* #注这里输入ROOT的密码三、使用DDos deflate简单防落CC和DDOS攻击使用netstat命令,查看VPS当前链接确认是否受到攻击:netstat -ntu | awk print $5 | cut -d: -f1 | sort | uniq -c | sort -nIP前面的数字,即为连接数,如果说正常网站,几十到一百都属于正常连接,但

3、出现几百,或上千的就可以垦定这个IP与你的VPS之间可能存在可疑连接现象。可以使用iptables直接BAN了这个IP的永久访问:iptables -A INPUT -s 8 -j DROP使用软件DDos deflate来自动检测并直接BAN掉的方法,首先要确认一下iptables服务状态,默认CENTOS就安装的.,不看也行。service iptables status安装DDos deflat:wget /scripts/ddos/install.shchmod +x install.sh./install.sh安装后需要修改/usr/local/ddos/ddos.conf,主要是A

4、PF_BAN=1要设置成0,因为要使用iptables来封某些可疑连接,注意EMAIL_TO=”root”,这样BAN哪个IP会有邮件提示:# Paths of the script and other filesPROGDIR=”/usr/local/ddos”PROG=”/usr/local/ddos/ddos.sh”IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” /IP地址白名单CRON=”/etc/cron.d/ddos.cron”/定时执行程序APF=”/etc/apf/apf”IPT=”/sbin/iptables”# frequen

5、cy in minutes for running the script# Caution: Every time this setting is changed, run the script with cron# option so that the new frequency takes effectFREQ=1 /检查时间间隔,默认1分钟# How many connections define a bad IP? Indicatethat below.NO_OF_CONNECTIONS=150 /最大连接数,超过这个数IP就会被屏蔽,一般默认即可# APF_BAN=1 (Make s

6、ure your APF version is atleast 0.96)# APF_BAN=0 (Uses iptables for banning ips instead of APF)APF_BAN=1 /使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。# KILL=0 (Bad IPs arent banned, good for interactive execution of script)# KILL=1 (Recommended setting)KILL=1 /是否屏蔽IP,默认即可# An email is sent to the f

7、ollowing address when an IP is banned.# Blank would suppress sending of mailsEMAIL_TO=”root”/当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可# Number of seconds the banned ip should remain in blacklist.BAN_PERIOD=600 /禁用IP时间,默认600秒,可根据情况调整四、使用iftop查看详细网络状况安装IFTOP软件:yum -y install flex byacc libpcap ncurses ncurses-d

8、evel libpcap-develwget /pdw/iftop/download/iftop-0.17.tar.gztar zxvf iftop-0.17.tar.gzcd iftop-0.17./configuremake & make install安装后,使用iftop运行,查看网络情况。TX,发送流量;RX,接收流量;TOTAL,总流量;Cumm,运行iftop期间流量;peak,流量峰值;rates,分别代表2秒、10秒、40秒的平均流量。快捷键:h帮助,n切换显示IP主机名,s是否显示本机信息,d是否显示远端信息,N切换端口服务名称,b切换是否时数流量图形条。五、升级LNMP中

9、的NGINX到最新版现在最新版是0.8.53,如果以后出新版,只要更新版本号就可以,在SSH里运行:wget /download/nginx-0.8.53.tar.gztar zxvf nginx-0.8.53.tar.gzcd nginx-0.8.53./configure user=www group=www prefix=/usr/local/nginx with-http_stub_status_module with-http_ssl_module with-http_sub_modulemakemv /usr/local/nginx/sbin/nginx /usr/local/ng

10、inx/sbin/nginx.oldcd objs/cp nginx /usr/local/nginx/sbin/usr/local/nginx/sbin/nginx -tkill -USR2 cat /usr/local/nginx/logs/nginx.pidkill -QUIT cat /usr/local/nginx/logs/nginx.pid.oldbin/usr/local/nginx/sbin/nginx -vcd .cd .rm -rf nginx-0.8.53rm -rf nginx-0.8.53.tar.gz六、常用netstat命令:1.查看所有80端口的连接数nets

11、tat -nat|grep -i “80|wc -l2.对连接的IP按连接数量进行排序netstat -ntu | awk print $5 | cut -d: -f1 | sort | uniq -c | sort -n3.查看TCP连接状态netstat -nat |awk print $6|sort|uniq -c|sort -rnnetstat -n | awk /tcp/ +S$NF;END for(a in S) print a, Sanetstat -n | awk /tcp/ +state$NF; END for(key in state) print key,”,statek

12、eynetstat -n | awk /tcp/ +arr$NF;END for(k in arr) print k,”,arrknetstat -n |awk /tcp/ print $NF|sort|uniq -c|sort -rnnetstat -ant | awk print $NF | grep -v a-z | sort | uniq -c4.查看80端口连接数最多的20个IPnetstat -anlp|grep 80|grep tcp|awk print $5|awk -F: print $1|sort|uniq -c|sort -nr|head -n20netstat -ant |awk /:80/split($5,ip,”:”);+Aip1ENDfor(i in A) print A,i |sort -rn|head -n205.用tcpdump嗅探80端口的访问看看谁最高tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F”.” print $1.”$2.”$3.”$4| sort | uniq -c | sort -nr |

人人文库> 全部分类> 教育资料 > 作文作品

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论