VPS 服务器安全加固与防护

因为 SSH 的默认登陆端口是 22，一些自动化程序会扫描全网开放 22 端口的主机，然后再进行暴力破解。

如果这个时候你的密码很简单的话，被爆破开的几率会大大增加。

（所以密码强度很重要，就算你不打算改默认端口也要设置一个复杂一点的密码，增加破解难度）

当然很多服务器厂商自己生成的密码强度也是很高的，比如 vultr 。

可以执行以下命令查看登录日志

cat /var/log/secure

这个时候你的屏幕可能会一直刷新，因为尝试登陆的记录太多了，Ctrl + C 中断，意识到问题的严重性就好了。

修改 SSH 端口详细教程参考：

修改 VPS 服务器 SSH 默认连接端口——Mr96's Blog​mr96s.com

二、安装服务器防护软件

网络攻击无处不在，服务器安全软件可以有效的防止DDOS、CC攻击、网页篡改、网站跳转劫持等情况的发生，可视化简单操作，自动化实施服务器安全策略，起到服务器安全加固作用。

防止攻击者直接攻击服务器获取高权限，从而对服务器数据、文件产生威胁。

对 VPS 小白 和 新手站长都是非常不错的选择。

有很多服务器安全产品可自己选择一个安装

三、Webshell 后门查杀

现在建站门槛非常低，网络上有很多现成的 CMS 建站程序，甚至不需要你懂代码，不需要你会编程，就能轻轻松松搭建网站（当然会点更好）。

这些程序不少是被人修改过的，有些可能被人留了后门。

在建站之前应该先对建站程序进行 webshell 后门查杀

这里推荐百度 OpenRASP 团队的在线木马查杀引擎：WEBDIR+

实测多款在线查杀中效果最好，识别最准，误报最低的 webshell 查杀引擎。

除了扫描本地上传的文件，还可以直接调用接口对服务器上的文件进行扫描，及时发现清理 webshell 后门。

网上找了几个比较新的过 waf 马都识别出来了。

四、安装 WAF 或者 RASP

开放的服务越多，攻击面就越广。当攻击者发现服务器没有直接的漏洞可以利用会转向 web 层发起攻击。

就算上面选用的 CMS 建站程序没有后门，但是程序本身可能存在漏洞，或者服务器其它中间件存在漏洞可以利用。

一旦被利用，网站数据受到威胁，进而也威胁到服务器安全。

所以应该在 web 层部署一道防护，服务器防护软件是针对的系统层，而 WAF 和 RASP针对的是 web 应用层。

个人偏向使用 RASP ，RSAP 可以将自身注入到应用程序中，与应用程序融为一体，实时监测、阻断攻击，使程序自身拥有自保护的能力。至于 WAF 和 RASP 的具体区别可以自己了解。

有了 rasp 就算你的网站有漏洞，攻击者也很难利用，在发起攻击时拦截阻断，增加攻击难度和成本。

具体安装教程过两天再更

如果你有什么好的建议或者文章中有什么不足的地方，欢迎在评论区指出，后期更新到文章中。

———————————————————————————————

2020/1/29 更新一发

Nginx 自带的防火墙也是可以的，如果不是很熟悉 Linux 系统的话，可以直接在宝塔安装可视化 Nginx 防火墙插件。

另外宝塔现在也有了 百度 OpenRASP 的插件

测试效果：

我的专栏：VPS 搞机指南 会持续输出更多 VPS 相关内容，关注获取更多 vps 姿势。

About 贝壳

【声明】：本博客不参与任何交易，也非中介，仅记录个人感兴趣的主机测评结果和优惠活动，内容均不作直接、间接、法定、约定的保证。访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客，即表示您已经知晓并接受了此声明通告。

点此给贝壳发送邮件 | 广告投放QQ80059284