vps安全設(shè)置 VPS做安全設(shè)置

作者:dthost | 時(shí)間:2017-12-15 | 分類:未分類 | 11,063 次閱讀

一、禁止默認(rèn)共享。

方法一:建立一個(gè)記事本,填上以下代碼。保存為*.bat并加到啟動(dòng)項(xiàng)目中

?
1
2
3
4
5
6
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del

方法二:修改注冊(cè)表,(注意修改注冊(cè)表前一定要先備份一下注冊(cè)表,備份方法。在 運(yùn)行>regedit,選擇 文件》導(dǎo)出 ,取個(gè)文件名,導(dǎo)出即可,如果修改注冊(cè)表失敗,可以找到導(dǎo)出的注冊(cè)表文件雙擊運(yùn)行即可。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名為 “AutoShareServer” 數(shù)據(jù)值為“0”

二、遠(yuǎn)程桌面連接配置。
開始 > 程序 > 管理工具 > 終端服務(wù)配置 > 連接
選擇右側(cè)”RDP-tcp”連接右擊 屬性 > 權(quán)限 刪除(除system外)所有用戶組 添加單一的允許使用的管理員賬戶,這樣即使服務(wù)器被創(chuàng)建了其它的管理員.也無法使用終端服務(wù)。

三、serv_u安全設(shè)置(注意一定要設(shè)置管理密碼,否則會(huì)被提權(quán))

打開serv_u,點(diǎn)擊“本地服務(wù)“,在右邊點(diǎn)擊”設(shè)置/更改密碼“,如果沒有設(shè)置密碼,”舊密碼為空,填好新密碼點(diǎn)擊”確定“。

腳本之家小編注:最好不要用serv_u,有人告侵權(quán)問題,建議用FileZilla Server.

四、關(guān)閉139、445端口

①控制面板-網(wǎng)絡(luò)-本地鏈接-屬性(這里勾選取消"網(wǎng)絡(luò)文件和打印機(jī)共享")-tcp/ip協(xié)議屬性-高級(jí)-WINS-Netbios設(shè)置-禁用Netbios,即可關(guān)閉139端口


②關(guān)閉445端口(注意修改注冊(cè)表前一定要先備份一下注冊(cè)表,備份方法。在運(yùn)行>regedit,選擇文件》導(dǎo)出,取個(gè)文件名,導(dǎo)出即可,如果修改注冊(cè)表失敗,可以找到導(dǎo)出的注冊(cè)表文件雙擊運(yùn)行即可。)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建“DWORD值”值名為“SMBDeviceEnabled”數(shù)據(jù)為默認(rèn)值“0”

五、刪除不安全組件

WScript.Shell 、Shell.application 這兩個(gè)組件一般一些ASP木馬或一些惡意程序都會(huì)使用到。
方法:在“運(yùn)行”里面分別輸入以下命令
①regsvr32 /u wshom.ocx 卸載WScript.Shell 組件
②regsvr32 /u shell32.dll 卸載Shell.application 組件。
③regsvr32 /u %windir%\system32\Wshext.dll

六、設(shè)置iis權(quán)限。

針對(duì)每個(gè)網(wǎng)站單獨(dú)建立一個(gè)用戶。
①首先,右擊“我的電腦”》管理》本地計(jì)算機(jī)和組》用戶,在右邊。右擊“新用戶”,建立新用戶,并設(shè)置好密碼。

例如:添加test為某一網(wǎng)站訪問用戶。

②設(shè)置站點(diǎn)文件夾的權(quán)限
然后,打開internet信息服務(wù)管理器。找到相應(yīng)站點(diǎn)。右擊,選擇“權(quán)限”

選擇權(quán)限后

只保留一個(gè)超級(jí)管理員administrator(可以自己定義),而不是管理員組administrators。和系統(tǒng)用戶(system),還有添加訪問網(wǎng)站的用戶??梢渣c(diǎn)擊“添加”將剛才在系統(tǒng)創(chuàng)建的用戶(如test)添加里面。然后勾選該用戶(test)讀取和運(yùn)行、列出文件夾目錄、讀取、寫入的權(quán)限。超級(jí)管員(administrator)”完全控制”,系統(tǒng)用戶(system) “完全控制”權(quán)限。并且選擇用戶(test)?“高級(jí)”

最近蘇蘇安利了一個(gè)從沒用過vps的朋友買了個(gè)vps,為了滿足他濃郁的學(xué)習(xí)興趣,蘇蘇最近會(huì)多更新一些學(xué)習(xí)類的文章。好了,廢話就像頭皮屑,不對(duì),應(yīng)該是廢話就不多說了。直接開始吧。

之前蘇蘇有教過大家如何保護(hù)自己的vps安全,比如改變登陸端口啦【http://www.138vps.com/vpsjc/73.html】,用秘鑰登陸啦【http://www.138vps.com/vpsjc/159.html】,但是還有一種方法,就是禁止root登陸,另外用別的用戶名來登陸,等需要用到root權(quán)限的時(shí)候,再進(jìn)行提權(quán)。其實(shí)蘇蘇是不太喜歡這種方法的,建議大家還是用秘鑰登陸最好。但是,今天,還是要分享一下,如何禁止root登陸。

1、增加用戶

首先我們用putty登陸我們的vps,并增加一個(gè)用戶,假設(shè)為susu,輸入以下命令:

adduser susu

然后再輸入以下命令,給【susu】設(shè)置密碼,并輸入兩次密碼。

passwd susu

如下圖

adduser.jpg

那混蛋說蘇蘇的密碼太簡(jiǎn)單了,123456,怎么看都是一個(gè)很復(fù)雜的密碼好不好?。?/p>

ok,出現(xiàn)【successfully】還是表明可以了,我們?cè)俅蜷_一個(gè)putty,用 susu登陸試試,發(fā)現(xiàn)可以登陸了

susu.jpg

2、對(duì)【susu】進(jìn)行提權(quán)

正常情況下,這個(gè)時(shí)候【susu】是沒有root權(quán)限的,不信你可以試試能不能【cd】到【/root】這個(gè)目錄,我們需要輸入下面這個(gè)命令,并輸入root密碼

su root

就可以切換成root用戶了。

提權(quán).jpg

3、禁止root登陸

我們用winscp登陸我們的vps,編輯這個(gè)文件【/etc/ssh/sshd_config】,大概在中間的位置,有一行是【PermitRootLogin yes】改成 【PermitRootLogin no】,如果發(fā)現(xiàn)是被注釋了,就把注釋(也就是該行前面那個(gè) #)刪掉。

然后我們用root打開的那個(gè)putty運(yùn)行以下命令,重啟ssh

service sshd restart

如果你覺得煩,直接重啟vps也可以。

然后我們關(guān)掉 root 的 putty,再用 root 登陸試試,你會(huì)發(fā)現(xiàn)沒辦法登陸,用【susu】登陸試試,一切正常,當(dāng)需要 root 權(quán)限的時(shí)候,按照第二步的方法切換root就好了。

 WScript.Shell組件:WScript.Shell是WshShell對(duì)象的ProgID,其創(chuàng)建的WshShell對(duì)象具有運(yùn)行程序、操作注冊(cè)表、創(chuàng)建快捷方式、訪問系統(tǒng)文件夾、管理環(huán)境變量等功能,對(duì)于vps主機(jī)來說具有相當(dāng)大的安全隱患,其刪除卸載方法是:在“運(yùn)行”里面分別輸入命令:regsvr32/uwshom.ocx并確定,之后再“運(yùn)行”輸入regsvr32/u%windir%\system32\Wshext.dll并確定,才能刪除卸載WScript.Shell組件。
  
  Shell.application組件:Shell.Application表示外殼中的對(duì)象。方法被提供于控制外殼和執(zhí)行外殼內(nèi)的命令,同時(shí),也有些方法獲得其他外殼相關(guān)的對(duì)象。存在與WindowsVPS常被些asp木馬病毒所利用,同樣有著不小的安全隱患。Shell.application組件的刪除卸載方法是:在“運(yùn)行”里面分別輸入命令:regsvr32/ushell32.dll并確定。
  
  后,就是fso組件,fso組件是ASP個(gè)非常有用的編程控件,但如果對(duì)其權(quán)限設(shè)置不當(dāng),會(huì)成為vps主機(jī)上個(gè)公開的后門通道,為容易被惡意利用。惡意攻擊者可以在ASP網(wǎng)頁里面直接就對(duì)該fso控件編程,從而控制該服務(wù)器甚至刪除服務(wù)器上的文件,所以,如果我們的網(wǎng)站程序使用不到fso對(duì)象,建議刪除卸載fso組件,其刪除卸載方法是:在“運(yùn)行”里面分別輸入命令:Regsvr32/uscrrun.dll并確定。當(dāng)然,如果我們之后需要fso對(duì)象的時(shí)候,我們還可以重新注冊(cè)安裝fso組件。

 

 

趙容手中的VPS主要的用處就是裝lnmp,閑時(shí)看看探針,獲得點(diǎn)自我滿足感O(∩_∩)O~所以,就沒有太過關(guān)注安全問題。網(wǎng)絡(luò)上蛋痛的人總是那么多……遭遇一些事情之后反思,做一些必要的,簡(jiǎn)單的,適合趙容這種小白級(jí)別的安全措施還是蠻有必要的。今天,我們就一起來分享VPS最基本的安全配置。

safe

第一、修改SSH端口

VPS默認(rèn)的SSH端口是22,那些掃描窮舉密碼的,也勢(shì)必從22開始,所以,修改22為一個(gè)其他的數(shù)字,是非常有必要的。

好了,SSH登陸VPS,修改配置文件。

vi /etc/ssh/sshd_config

找到#Port 22,去掉前面的#,并修改為Port 1380(此數(shù)字盡量用4位數(shù),避免被占用),然后,重啟sshd

service sshd restart

***注意事項(xiàng):如果您害怕修改錯(cuò)誤,導(dǎo)致自己都不能登陸VPS,也可以找到#Port 22去掉#,然后加入一行Port 1380,開啟另一個(gè)putty窗口,嘗試新端口登陸,確認(rèn)OK后,再刪除Port 22即可!

第二、禁用root登陸,添加新賬戶

首先,添加新用戶賬號(hào)

useradd zrblog?? #此用戶自定義,此處以zrblog為例

設(shè)定新用戶密碼

passwd zrblog

輸入兩次密碼之后,OK。

接下來通過修改配置文件禁止root登陸,依然是修改/etc/ssh/sshd_config。

vi /etc/ssh/sshd_config

找到#PermitRootLogin yes,去掉前面的#,并將yes改為no,然后重啟sshd。

service sshd restart

嘗試用新的用戶登陸,然后用su root提權(quán)到root。

login as: zrblog???????? #新用戶名

zrblog@*.*.*.* password:*****?????????????? #新用戶密碼

Last login: Thu Mar 5 08:14:21 2012 from *.*.*.*

su root??????????????????????????? #提權(quán)

Password:***********?????????????????????????? #ROOT密碼

***注意事項(xiàng):設(shè)定強(qiáng)悍的密碼也是保證賬戶安全的屏障,比如用復(fù)雜的,隨機(jī)的密碼做root密碼,被窮舉猜解到的幾率也是非常小的,跟買福利彩一樣!

安全是一個(gè)VPS最基本的必備條件,若您的VPS三天兩頭被人攻破,那么對(duì)于網(wǎng)站來說也沒什么意義了,所以,在創(chuàng)建了Web服務(wù)器之后,您首先要做的事情就是將您的VPS加固,至少讓普通黑客沒有辦法能夠攻破您的網(wǎng)站。

 

用戶密碼

用戶口令是一個(gè)非常重要的信息,您在設(shè)置您的賬戶密碼時(shí)請(qǐng)遵循幾點(diǎn)原則來設(shè)置:1. 密碼不要過于簡(jiǎn)單,至少要8位以上,且同時(shí)擁有大小寫字母+數(shù)字+特殊字符;2. 密碼不要使用統(tǒng)一密碼,網(wǎng)站密碼一個(gè)、VPS密碼一個(gè),避免黑客破解其中一個(gè)就讓您的VPS全盤被破;3. 不要使用生日、電話等個(gè)人信息作為密碼;4. 定期更換您的密碼;5. 不要把您的密碼記錄在任何別人能夠看到的地方,最好記在心里。

刪除不使用的用戶和用戶組

Linux默認(rèn)自帶了一些用戶和用戶組,而這些用戶和用戶組在平時(shí)我們根本使用不到,所以,刪除吧!

<span class="pln">userdel?adm
userdel?lp
userdel?sync
userdel?shutdown
userdel?halt
userdel?news
userdel?uucp
userdel?operator
userdel?games
userdel?gopher
userdel?ftp?<span class="com">#若您需要使用匿名FTP請(qǐng)保留此用戶,否則刪除<span class="pln">
groupdel?adm
groupdel?lp
groupdel?news
groupdel?uucp
groupdel?games
groupdel?dip
groupdel?pppusers</span></span></span>

root是Linux下權(quán)限最大的一個(gè)用戶,而也是黑客最喜歡的一個(gè)用戶,若獲取到了root權(quán)限,則代表了您的VPS完全陷落,所以,將root用戶禁止登錄SSH,使用另外一個(gè)用戶來管理您的VPS將是一個(gè)很不錯(cuò)的主意。
首先添加一個(gè)用戶

 

分享過禁止PING的方法。Windows系統(tǒng)還是有一些區(qū)別的,首先我要說的是,如果你有需要禁止我們的網(wǎng)站禁止外部的PING,那你就去設(shè)置,有些站長(zhǎng)認(rèn)為禁止PING對(duì)于搜索引擎甚至網(wǎng)站權(quán)重是不好友的。老左只能說各人有各人的理解,具體這方面我也不是太懂。我不推薦你是去禁止還是不去禁止PING設(shè)置,在這里僅僅作為教程分享,給有需要的站長(zhǎng)使用。

第一步,登陸遠(yuǎn)程桌面"開始"-"控制面板"-"管理工具"。

ip1

打開"本地安全策略",右鍵"IP安全策略"-"管理IP篩選器表和篩選器操作"。

IP2

第二步,在"管理IP篩選器列表",添加。

IP3

第一招:使用“netstat -ano”命令查看當(dāng)前系統(tǒng)端口狀態(tài)

使用此命令可以查看到當(dāng)前系統(tǒng)開放了那些端口,哪個(gè)端口正在與網(wǎng)絡(luò)中的那些ip建立了連接,以及此端口的pid。

這里傳授一個(gè)經(jīng)驗(yàn)就是,當(dāng)你想知道某個(gè)開放的端口是屬于哪個(gè)進(jìn)程時(shí)候,只需與“任務(wù)管理器”即可查看到。

在“任務(wù)管理器”中選擇“顯示pid”,這時(shí)候每個(gè)進(jìn)程就顯示了一個(gè)唯一的pid號(hào),而這個(gè)pid號(hào)是與上面命令的pid號(hào)是對(duì)應(yīng)的,這時(shí)候只需將他們對(duì)應(yīng)起來,即可以那些端口對(duì)應(yīng)那些pid。同時(shí),還要提醒大家一種狀態(tài),就是發(fā)現(xiàn)只有自己使用遠(yuǎn)程桌面連接時(shí)候,顯示了多個(gè)3389端口連接,這時(shí)候可以肯定你的windows 系統(tǒng)被人嘗試3389連接,最好的應(yīng)對(duì)措施就是更改端口。美國月付空間、月付美國空間、美國VPS、美國服務(wù)器租用

第二招:巧用流量監(jiān)控查看系統(tǒng)實(shí)時(shí)流量

目前,最讓人頭痛的DDOS攻擊問題正在考驗(yàn)著很多機(jī)房管理員,而更難以相信的時(shí)候,很多服務(wù)器被人當(dāng)做“肉雞”也不知道。但是,如果有實(shí)時(shí)流控軟件,協(xié)助我們查看系統(tǒng)的實(shí)時(shí)網(wǎng)絡(luò)流量,并且至少每天有2到3次的檢查。一旦發(fā)現(xiàn)流量比平時(shí)多很多時(shí)候,我們應(yīng)該警惕自己的服務(wù)器是被攻擊了,還是被做“肉雞了”。仿牌空間、香港月付空間、韓國月付空間、日本月付空間、荷蘭VPS、香港VPS

第三招:站長(zhǎng)要定時(shí)查看自己網(wǎng)站目錄文件的情況

很多服務(wù)器受到攻擊,都是從網(wǎng)站的漏洞打開突破口的。而網(wǎng)站一般受到攻擊,網(wǎng)站目錄的文件肯定會(huì)被更改。所以,要定期檢查自己網(wǎng)站的文件使用情況,一旦發(fā)現(xiàn)有不屬于合法用戶的更新,要徹底檢查自己網(wǎng)站目錄文件。大概可以從兩方面著手:1.首先檢查數(shù)據(jù)庫有沒有可疑信息;2.檢查所有被非法更新的文件,是否被注入了惡意代碼;3.檢查網(wǎng)站目錄,特別是跟目錄,有沒有額外文件。

更多
  • 該日志由 于2017年12月15日發(fā)表在 未分類 分類下, 你可以發(fā)表評(píng)論,并在保留原文地址 及作者的情況下引用到你的網(wǎng)站或博客。
  • 本文鏈接: vps安全設(shè)置 VPS做安全設(shè)置 | 幫助信息-動(dòng)天數(shù)據(jù)
  • 文章標(biāo)簽:
  • 版權(quán)所有: 幫助信息-動(dòng)天數(shù)據(jù)-轉(zhuǎn)載請(qǐng)標(biāo)明出處
    • 【上一篇】 【下一篇】

    0 Comments.

    發(fā)表評(píng)論