VPS上的安全防护 -CSF防火墙 很多国外idc服务器都在使用
看到有同学讲到VPS安全方面的,我也说说,推荐给大家一个软件 CSF http://configserver.com/cp/csf.html这两年使用了很多国外的虚拟主机,发现他们的服务器上都几乎都有安装这个软件。这个软件也可以安装在VPS上的,给你的VPS安全加上一道安全锁。
比如说只开通某些端口、监控进程/可疑文件、屏蔽端口扫描的IP 、监控负载报警,某种程度抵御各种攻击,以及一些异常发送邮件通知等等,这个软件都可以做到。如果通过各种命令来完成这些操作,很多新手可能不懂。
CSF可以安装在centos redhat 上面,完全支持xen、kvm虚拟架构的VPS,openvz也可以安装,有小部分功能用不了。如果VPS或服务器上安装有cpanel directadmin webmin控制面板,还可以使用图形界面来配置,非常直观。如果没有的话,也可以修改CSF的配置文件来实现。
安装很简单。wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh安装后运行下面的命令检查是否正常。perl /usr/local/csf/bin/csftest.pl如果是openvz 可能会有一两个错误提示,不过没关系,大部分功能还是可以使用的。
接下来开始配置CSF,要修改的是这个文件/etc/csf/csf.conf,修改之前先备份cp /etc/csf/csf.conf /etc/csf/csf.conf.bak然后就可以开始了。安装后默认是测试模式,你要将TESTING = "1"改成TESTING = "0"CSF才能正常工作,一般来说默认的配置也是可以的正常使用的,这是针对大多数服务器通用的配置,但是每个人的需求可能不一样,可以阅读CSF的帮助文档进行更改http://configserver.com/free/csf/readme.txt讲一下最常用的修改 ,修改端口,只运行哪些端口是开启的。其余的端口都禁用。比如说关于端口部分可以改成下面这样子 ,只留下80端口和ssh端口,如果还需要那些端口可以自己添加, 比如说要使用ssl证书,就要把443端口加上去。# Allow incoming TCP ports
TCP_IN = "80,4789"
# Allow outgoing TCP ports
TCP_OUT = "80"
# Allow incoming UDP ports
UDP_IN = ""
# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = ""设置最大的屏蔽IP数量 有临时和永久两种,最大值是1000个DENY_IP_LIMIT = "100"
DENY_TEMP_IP_LIMIT = "100"如果你不想某些IP访问你的网站,你可以把IP添加到这个文件/etc/csf/csf.deny可以设置某个IP的最大连接数CT_LIMIT = "200"设置负载达到多大的时候发邮件通知你,比如负载达到4的时候。PT_LOAD_LEVEL = "4"还有其他的很多功能可以使用,具体可以参考CSF的readme文档 http://configserver.com/free/csf/readme.txt
修改后记得重启csf 使新设置生效。csf -r如果是使用cpanel da 或者是webmin ,csf有一个图形界面可以提示服务器上存在的不安全配置,并告诉你要去修改哪里,非常好用。
纯手打,如果这个对你有用,加点分把,{:14_1238:}
页:
[1]