很多人会忽视云服务器安全性这一点,我以前也是,以前想着谁会闲的没事干我这个名不见经传的小服务器呀,结果不看不知道,一看吓一跳,还真有各种各样的IP暴力破解服务器的SSH用户名、密码,如果刚好搭建了Nginx,在Nginx的错误日志里还会看到贼多机器人IP地址扫描你的目录……
只能说现在的网络环境并不像我们想的那么安全,这种情况下,做好安全防护很有必要,虽然可能防不住更狠的DDOS攻击,但阻止或减缓一些基础的网络攻击还是可以的。
配置UFW防火墙
禁用IPV6:Ubuntu防火墙ufw的使用_如何删除ufw中的v6规则?-CSDN博客
拓展:基于Linux的三种防火墙(IPtables、Firewall、UFW) - 扛枪的书生 - 博客园
Turn Your Nginx Server into a Fortress with Fail2ban and UFW | Scalastic 👨🏻💻
Linux系统SSH连接安全加强(Fail2ban)
Ubuntu 中登录相关的日志 - sparkdev - 博客园
/VAR/LOG/各个日志文件分析 - 开始认识 - 博客园
认识 Linux 下 btmp 日志文件 | Verne in GitHub
/var/log/btmp文件过大的原因 - Sunsea’s Blog
查看日志发现有一个山东日照的IP对服务器root用户的SSH连接进行了12000多次的密码爆破,同时还一直有其他IP对用户名的各种尝试连接,感觉还是应该加强一下服务器的SSH防护,最好禁止使用密码登录,只能使用公私钥的方式登录,并将默认的SSH连接端口22修改为别的端口等:VPS 安全设置 | Verne in GitHub
如果需要的话,还可以安装Fail2ban防爆破:fail2ban/fail2ban: Daemon to ban hosts that cause multiple authentication errors
官方建议,不应该在配置Fail2ban的两个默认配置文件fail2ban.conf和jail.conf中直接更改,应该新建fail2ban.local和jail.local文件,对需要改变的配置更改,而且应该使用touch命令创建空白文件,不应该使用cp命令将默认配置文件复制一份。
使用 fail2ban 防范 SSH 暴力破解攻击 | Koenli’s Blog
利用Fail2Ban保护你的服务器(Fail2Ban使用教程) | hash070’s blog
ubuntu 20.04 lts 安装fail2ban with UFW – 致知于行
安装和配置 Fail2ban 以保护 SSH - HY’s Blog
使用Fail2ban保护你的Linux服务器-腾讯云开发者社区-腾讯云
Fail2Ban安全配置与应用 - 高度可定制化/支持多种服务-腾讯云开发者社区-腾讯云
根据Issue,UFW有一些其他问题:
https://github.com/fail2ban/fail2ban/issues/2545#issuecomment-2460393322
https://github.com/fail2ban/fail2ban/issues/2545#issuecomment-2460472090
因此不建议使用,debian系操作系统例如Ubuntu中默认的是nftables,查看jail.d文件夹下的defaults-debian.conf,可以发现默认的配置就是nftables,虽然也可以改用jail.conf中的iptables,但由于开发者设置了默认设置,直接用就行。注意如果SSH连接修改了默认了22端口,需要在监狱配置中加入port = xxxx的配置,确保封禁了正确的端口。配置完成后重启Fail2ban服务,测试成功。
配置Nginx防护(配合Fail2Ban)
见:【云服务器(Ubuntu)配置(折腾)】四、Hexo博客(Nginx)部署与配置 #配置Nginx防护(配合Fail2Ban)| 青江的个人站
本文链接: https://hanqingjiang.com/2024/11/28/20241128_server_cloudServerSecurity/
版权声明: 本作品采用 CC BY-NC-SA 4.0 进行许可。转载请注明出处!
