Linux VPS 服務器有它們的優勢。事實上，與Windows等其他作系統相比，Linux VPS的安全性遠高于Linux的安全模型。但他們并不完美，也絕不是刀槍不入。在這篇文章中，我們將介紹20種保護VPS并防止黑客攻擊的方法。

Linux的默認安全性相當不錯，甚至優于大多數競爭對手，但仍存在弱點。

我們知道唯一好的服務器是安全的服務器，因此我們整理了關于保護Linux VPS服務器的頂級建議，幫助你在黑客入侵你網站并獲取敏感數據之前阻止他們。

雖然徹底的安全測試無疑是保障服務器安全的最佳方式，但我們列出了一些更快捷的措施，幫助你立即加強服務器的防護。這些技術不需要花費大量時間和精力，但需要一定程度的行政經驗。

如果你需要幫助，不要害怕聯系我們——我們很樂意提供幫助。

讓我們開始吧，以下是20種保護VPS安全的方法。

1. 禁用root登錄

想要安全的VPS？那你絕不應該以root用戶身份登錄。

默認情況下，每個Linux虛擬虛擬服務器的用戶名都是“root”，因此黑客會嘗試暴力破解密碼并獲取訪問權限。禁用“root”用戶名登錄可以增加另一層安全措施，防止黑客僅憑猜測你的用戶憑證。

你不需要以根用戶登錄，而是需要創建一個用戶名，并使用“sudo”命令來執行根級命令。

Sudo 是一種特殊的訪問權限，可以授予授權用戶，使他們能夠運行管理命令，并且消除了對 root 權限的需求。

確保創建非root用戶，并在禁用“root”賬戶前給予其相應的授權等級。

準備好后，打開 nano 或 vi 瀏覽器，找到“PermitRootLogin”參數。/etc/ssh/sshd_config

默認情況下，這個會顯示“是”。

把它改成“否”并保存更改。

2. 更換SSH端口

當人們找不到SSH時，很難破解它。更改SSH端口號可以防止惡意腳本直接連接到默認端口（22）。

為此，你需要打開并調整合適的設置。/etc/ssh/sshd_config

務必確認所選端口號是否被其他服務使用——避免沖突！

3. 保持服務器軟件更新

更新服務器軟件并不難。

你可以直接使用rpm/yum包管理器或apt-get升級到新版本的軟件、模塊和組件。

你甚至可以配置作系統通過電子郵件發送 yum 包更新通知。這樣很容易跟蹤變化。如果你愿意自動化這項任務，還可以設置一個cronjob，代你應用所有可用的安全更新。

如果你用的是面板，比如Plesk或cPanel，那你也需要更新它。大多數面板都可以設置為自動更新，cPanel 大部分包更新都使用 EasyApache 進行。

最后，你需要盡快安裝安全補丁。你拖得越久，越有可能遭遇惡意攻擊。

4. 禁用未使用的網絡端口

開放的網絡端口和未使用的網絡服務是黑客的易攻目標，你需要保護自己免受攻擊。

使用“netstat”命令查看所有當前開放的網絡端口及其相關服務。

可以考慮設置“iptables”來關閉所有未打開的端口，或者用“chkconfig”命令禁用不需要的服務。如果你用像CSF這樣的防火墻，甚至可以自動化iptables規則。

5. 移除不需要的模塊/包

你不太可能需要Linux發行版自帶的所有包和服務。每移除一個服務，就少了一個需要擔心的弱點，所以確保你只運行你實際使用的服務。

沒有使用模塊？直接扔掉它！

此外，避免安裝不必要的軟件、軟件包和服務，以減少潛在威脅。它還能優化服務器性能！

6. 禁用IPv6

IPv6相比IPv4有幾個優勢，但你很可能不會使用它——很少有人在用。

不用IPv6？禁用它！

但黑客經常使用它，他們經常通過IPv6發送惡意流量，保持協議開放可能會暴露在潛在攻擊風險中。為解決這個問題，編輯/etc/sysconfig/網絡并更新設置，使其讀取IPv6=no和IPV6INIT=no NETWORKING_。

7. 使用 GnuPG 加密

黑客經常針對數據在網絡傳輸時進行攻擊。這就是為什么使用密碼、密鑰和證書加密傳輸到服務器至關重要。一個流行的工具是GnuPG，這是一種基于密鑰的認證系統，用于加密通信。它使用一個“公鑰”，只有“私鑰”才能解密，而私鑰僅對目標接收者開放。

8. 制定強密碼政策

弱密碼一直是——也將永遠是——對安全最大的威脅之一。不要允許用戶賬戶的密碼字段空，也不要使用像“123456”、“password”、“qwerty123”或“trustno1”這樣的簡單密碼。

你可以通過要求所有密碼混合大小寫、避免使用字典詞匯以及包含數字和符號來提升安全性。啟用密碼老化功能，強制用戶定期更改舊密碼，并考慮限制舊密碼的重復使用。

還可以使用“faillog”命令設置登錄失敗限制，并在多次嘗試失敗后鎖定用戶賬戶，以保護系統免受暴力破解攻擊。

9. 配置防火墻

簡單來說，如果你想要真正安全的VPS，就需要防火墻。

幸運的是，這里有很多選擇。NetFilter 是一個集成在 Linux 內核中的防火墻，你可以配置它來過濾不需要的流量。借助NetFilter和iptables，你可以抵御分布式拒絕服務（DDos）攻擊。

僅僅設置防火墻是不夠的。一定要確保配置正確！

TCPWrapper是另一個有用的應用，是一種基于主機的訪問控制列表（ACL）系統，用于過濾不同程序的網絡訪問。它提供主機名驗證、標準化日志和偽造防護，這些都能幫助增強你的安全性。

其他流行的防火墻包括CSF和APF，它們都為cPanel和Plesk等熱門面板提供插件。

10. 使用磁盤分區

為了提高安全性，建議對磁盤進行分區，以避免作系統文件接觸用戶文件、TMP文件和第三方程序。你也可以禁用 SUID/SGID 訪問（nosuid），并禁用作系統分區上的二進制文件執行（noexec）。

11. 讓 /boot 只讀

在 Linux 服務器上，所有內核專用文件都存儲在“/boot”目錄中。

但該目錄的默認訪問級別是“讀寫”。為了防止啟動文件被未經授權修改——啟動文件對服務器的順暢運行至關重要——建議將訪問級別改為“只讀”。

操作方法是編輯 /etc/fstab 文件，并在底部添加 LABEL=/boot /boot ext2 默認設置，RO 1 2。如果以后需要修改內核，可以簡單地恢復到“讀寫”模式。完成后，你可以做修改，然后把它設回“只讀”。

12. 使用SFTP，而非FTP

文件傳輸協議（FTP）已經過時且不再安全，即使使用“FTP over TLS”（FTPS）加密連接。

FTP和FTPS都仍然容易受到數據包嗅探的威脅，當計算機程序攔截并記錄通過你網絡的流量時。FTP完全“暢文”，FTPS文件傳輸也是“暢文”，這意味著只有憑證被加密。

SFTP是“FTP over SSH”（也稱為“安全FTP”），它對所有數據進行完全加密——包括憑據和正在傳輸的文件。在EuroVPS，我們只支持SFTP。

13. 使用防火墻

你的防火墻是守門人，決定允許或拒絕訪問服務器，也是你抵御黑客的第一道防線。

安裝和配置防火墻應該是你在搭建和保護VPS或裸機服務器時首先要做的事情之一。考慮咨詢公司如Castra，他們提供威脅安全以提供額外保護。

在EuroVPS，我們所有托管計劃在首次部署VPS或專用裸機服務器時都包含安全防護。

14. 安裝反惡意軟件/殺毒軟件

防火墻的主要職責是拒絕訪問已知惡意流量源，實際上是你的第一道防線。但沒有防火墻萬無一失，有害軟件仍可能滲透，這也是你需要進一步保護自己的原因。

太多新手服務器管理員沒有安裝反惡意軟件軟件，這是個錯誤。最常見的原因不是懶惰，而是他們不想花錢買安全軟件。為了解決這個問題，你可以先嘗試一些殺毒軟件試用，并選擇安裝哪一個。僅靠防火墻并不總是足夠，分層的安全措施至關重要。

通常，付費解決方案通常是最好的，因為他們的收入來源允許他們聘請有才華的程序員和研究人員，幫助軟件保持相關性。

但如果預算有限，不妨看看一些免費的替代方案。

ClamAV 和 Maldet 是兩個開源應用，可以掃描你的服務器并對潛在威脅進行評分。這就是為什么我們將這兩者作為托管托管客戶VPS安全強化過程的一部分安裝。

15. 開啟CMS自動更新

黑客不斷試圖尋找安全漏洞——尤其是在你網站的內容管理系統（CMS）中。流行的CMS提供商包括Joomla、Drupal、HubSpot和WordPress，WordPress為近20%的網絡提供動力。

大多數CMS開發者會定期發布安全修復和新功能。

更多功能允許你自動更新CMS，確保修復在新版本發布時立即應用。WordPress 在自動更新方面來得比較晚，如果你用的是舊網站，默認可能已經禁用了。務必檢查設置，并盡可能啟用自動更新。

請記住，你網站的內容是你的責任，而不是你的主機。確保它定期更新是你的責任，定期備份也是個好主意。

16. 在白手中啟用cPHulk

除了提供防火墻功能外，cPanel還具備“cPHulk”暴力破解防護。

防火墻并非萬無一失，“好”流量如果漏網，可能會變成壞事。這些誤報是防火墻設置造成的，可能需要調整以提供額外的保護。

與此同時，cPHulk充當次級防火墻，防止服務器遭受暴力破解攻擊（如反復嘗試猜密碼）。

我們經常發現cPHulk先阻斷登錄功能，防火墻隨后才追上，封禁整個IP。要啟用它，你需要前往WHM安全中心，選擇cPHulk暴力破解防護。這是我們在托管VPS和專用服務器上進行的安全強化過程中的又一步驟。

17. 防止匿名FTP上傳

cPanel和Plesk默認都禁用了匿名FTP上傳，但其他設置也可以預先啟用。

允許匿名用戶通過FTP上傳是一個巨大的安全風險，因為這允許任何人上傳任何他們想要的內容到你的網絡服務器。正如你所想，這并不推薦——這有點像把鑰匙交給竊賊。

要禁用匿名上傳，請編輯服務器的FTP配置設置。

18. 安裝rootkit掃描器

最危險的惡意軟件之一是rootkit。

它存在于作系統（OS）層面，低于其他普通安全軟件，并且可以允許對服務器進行未被發現的訪問。幸運的是，你可以使用“chrootkit”這個開源工具來查明你的服務器是否被感染。但rootkit并不總是容易移除，解決這個問題的最好方法通常是重新安裝作系統。

19. 定期進行備份

太多人忘記定期備份——當出現問題時，他們會后悔沒有備份。無論你多么小心，無論服務器多么安全，總有可能出現問題。

不要冒不必要的風險，不備份，也不要指望主機來做備份。建議自己備份，即使主機提供商說是代表你備份的。把備份存到不同地方，考慮用云端，這樣備份就能隨時訪問。

20. 使用強密碼

強密碼政策絕對至關重要，因此總是值得反復執行。密碼不佳仍然是安全的最大威脅。同樣，保護Windows服務器時也是如此！

密碼協議常被誤解。復雜性很重要，但長度同樣重要。雖然使用大寫字母、小寫字母、數字和特殊字符的混合是個好主意，但你也應該盡可能長。

與用戶溝通，并采取措施在管理員層面保護服務器安全。cPanel和Plesk都可以配置強制使用強密碼，也可以設置密碼自動過期。

結論

網絡服務器基礎設施中的漏洞可能是災難性的。就像在鯊魚出沒的水里游泳，身上還流血。

全球有數百萬黑客，日夜不停地挖掘你VPS中哪怕最細微的安全漏洞。保護你的VPS免受潛在威脅至關重要，因為黑客遲早會來找你。

尤其是企業和電子商務網站，正成為潛在黑客的主要目標。雖然大多數公司都有基本的安全措施，但這些措施往往無效且容易被攻破。