不知道小伙伴們是不是擁有一臺(tái)自己的云服務(wù)器呢?如果有請(qǐng)“點(diǎn)贊”刃永,如果沒有請(qǐng)點(diǎn)擊“在看”货矮。
我擁有的第一臺(tái)云服務(wù)器其實(shí)是在我大學(xué)的時(shí)候,也就是在云服務(wù)等一眾概念推向市場(chǎng)的時(shí)候斯够,特別是阿里云的產(chǎn)品囚玫,沒用過但也有聽說過,但我的的確確擁有的人生第一臺(tái)云服務(wù)器是一臺(tái)歐洲的一個(gè)VPS(虛擬專用服務(wù)器 Virtual Private Server)读规,記得是1核512MB內(nèi)存劫灶,盡管配置很低,但從此被Linux這個(gè)東西深深的吸引掖桦。
服務(wù)器可以做很多事,包括最基礎(chǔ)的建站供汛、跑應(yīng)用枪汪,跑服務(wù)、做爬蟲怔昨、代理等雀久,比如我就為自己建立了一個(gè)網(wǎng)站,還注冊(cè)了一個(gè)花哨的域名:
aaa.al
感興趣的朋友不妨拷貝到瀏覽器趁舀,訪問試試赖捌。
言歸正傳,其實(shí)今天想分享的是如何保護(hù)好自己的云主機(jī)矮烹!之前也有分享過越庇,主要的方式有:
- 1.設(shè)置特殊端口,比如把22端口修改為2222
- 2.禁止root用戶直接登錄
- 3.建立普通用戶奉狈,設(shè)置復(fù)雜的密碼(包含特殊字符)
- 4.不使用普通用戶登錄卤唉,采用公鑰-私鑰模式
- 5.開啟防火墻,僅僅放行安全或必要的端口
但是作為管理員仁期,這些都比較被動(dòng)桑驱,不能任由“入侵者”攻擊我們的服務(wù)器,使用fail2ban這款工具來做一些應(yīng)對(duì)措施跛蛋。
[圖片上傳失敗...(image-5d3c3f-1655133554145)]
比如上圖熬的,在登錄時(shí)可以發(fā)現(xiàn),系統(tǒng)提示自上一次登錄成功后赊级,系統(tǒng)有10022次失敗的登錄押框,說明有人(機(jī)器)在不斷嘗試登錄我們的服務(wù)器。
應(yīng)對(duì)措施此衅,安裝fail2ban:
# Ubuntu
sudo apt update && sudo apt install fail2ban
# CentOS
yum install fail2ban
進(jìn)入fail2ban的目錄强戴,復(fù)制一份配置文件:
cd /etc/fail2ban
sudo cp fail2ban.conf fail2ban.local
sudo cp jail.conf jail.local
修改jail.local配置文件啟動(dòng)sshd策略亭螟。
sudo vim jail.local
定位到285行左右,添加一行:
enabled = true
[圖片上傳失敗...(image-1a036d-1655133554145)]
相對(duì)位置如上圖所示骑歹。完成之后修改sshd策略预烙。
sudo vim fail2ban.local
定位到最后一行,添加如下內(nèi)容(CentOS使用如下配置)
[sshd]
enable = ture
port = 22 # 注意改成自己對(duì)應(yīng)的ssh端口
filter =sshd
# CentOS
logpath = /var/log/secure
# Ubuntu
# logpath = /var/log/auth.log
maxretry = 5 # 最大嘗試次數(shù)
bantime = 1800 #封禁時(shí)間道媚,單位s扁掸。-1為永久封禁
保存配置,重啟生效最域。
sudo systemctl restart fail2ban #重啟
sudo fail2ban-client status #查看狀態(tài)
sudo fail2ban-client status sshd #查看sshd的詳細(xì)狀態(tài)
嘗試錯(cuò)誤登錄服務(wù)器5次谴分,發(fā)現(xiàn)再也登錄不上了,服務(wù)器返回連接超時(shí)镀脂。
[圖片上傳失敗...(image-7f8074-1655133554145)]
再次查詢ip發(fā)現(xiàn)已經(jīng)被封禁了牺蹄。
sudo fail2ban-client status sshd
[圖片上傳失敗...(image-989f2-1655133554145)]
小伙伴們注意不要把自己給擋在服務(wù)器外面了哦!
