本文收集自网络,侵删!
vps搭建的方法:1、通过ssh建立与服务器的加密连接访问;2、更新服务器的安全补丁和功能,保证vps的安全性和稳定性;3、创建一个新用户并分组,然后使用新用户登录SSH;4、更改SSH的默认侦听端口,注意更改前要备份配置文件;5、生成SSH密钥,保证数据传输的安全性;6、配置防火墙规则,保证vps的访问安全。
具体内容如下:
1、通过SSH访问服务器
多种通信协议可让我们建立与vps的连接。例如,使用FTP ,可以上传、管理和编辑文件。但是,要正确配置我们的vps,需要SSH(或 Secure shell)——一种网络协议,可让我们建立与服务器的加密连接并在其上执行命令。
SSH仅通过命令行界面工作,如果我们的计算机使用基于Unix的操作系统,如linux或 MacOS,我们可以使用终端建立连接。如果我们使用的是旧版本的windows——需要使用像PuTTY这样的SSH客户端。
首次通过SSH访问服务器需要您的主机提供的root登录凭据。我们需要使用的命令是:
ssh [root 用户名]@[服务器 IP]
服务器将通过端口22接收请求,识别用户名(通常是“root”),并询问您的密码。提供正确的登录详细信息后,服务器将在命令行界面中显示欢迎消息。这样,我们就可以登录到自我管理的vps。
2、更新服务器
我们不仅要对服务器的平稳性能负责,还要对托管在其上的项目的安全性负责。使我们的vps保持最新是其中的主要部分,因为它保证安装了所有新的安全补丁和功能。
不同的Linux发行版使用不同的包管理器,因此命令因发行版而异。例如,对于ubuntu和其他基于 Debian 的发行版,我们将首先适当的更新Centos和RHEL。对于基于 Debian的发行版是适当升级,对于CentOS和RHEL,需要使用yum更新或dnf更新该过程可能需要一段时间。
更新后,最好使用reboot 命令重新启动服务器。定期更新服务器的软件是保持其良好状态的重要部分。如果不应用最新的稳定版本,我们不仅会错过新添加的特性和功能,还会让服务器面临安全漏洞。
3、创建一个新用户
到目前为止,我们一直在使用服务器的root用户。Linux中的root用户基本上是系统的所有者。它的权限是无限的——只要我们以root身份登录,几乎可以对服务器执行任何操作。
尽管如此,由于特权提升,任何小错误都可能产生可怕的后果,因此通常认为创建具有超级用户权限的第二个帐户是个好主意。有了它,我们仍然可以配置服务器最重要的设置,但是我们需要将sudo前缀添加到每个需要管理权限的命令中。这似乎是一个微小的差异,但是当我们尝试执行没有所需前缀的命令时出现的错误消息保证会让您谨慎行事。要创建新用户使用:
adduser [新用户的用户名]
服务器将要求我们为新帐户选择密码并提供一些其他详细信息。接下来,需要将新用户帐户分配给正确的组。
usermod -aG sudo [新用户的用户名]
为确保一切正常,我们可以终止当前的SSH会话并使用新用户帐户登录。
4、更改默认SSH端口
如前所述,端口22是SSH的默认监听端口。这是许多SSH用户都知道的事实,但也有讨厌的黑客。严格来说,如果我们的密码足够强大,他们将很难进入。
不过,最好不要冒险更改 SSH 默认侦听端口。这样做意味着编辑SSH 配置文件。为了在出现问题时为自己省去很多麻烦,最好在继续之前备份它。
cp /etc/ssh/sshd_config /etc/ssh/sshd_config_old
大多数 Linux 发行版都附带Nano——一个基于命令行的文本编辑器。我们将使用它来编辑 SSH 配置文件:
Nano /etc/ssh/sshd_config
找到显示以下内容的行:
#端口 22
删除#字符,并将22替换为 1024 和 65535 之间的任意数字 。确保记住新端口,因为下次登录时需要使用它。其他服务无法使用您刚刚分配的 SSH 端口。要应用更改,请保存 SSH 配置文件并使用以下命令重新启动 SSH服务,如果我们没有使用root帐户登录,则需要在其中一些命令中使用sudo前缀。
5、生成 SSH 密钥
更改SSH的默认侦听端口可保护您的服务器免受自动脚本的影响,这些脚本会扫描互联网并尝试随机入侵服务器。但是,要阻止有针对性的攻击,最好加强我们的身份验证机制。
如果我们选择足够强的密码,传统的用户/密码系统通常会很有效。尽管如此,SSH 还可以使用公钥和私钥对来验证个人用户的身份——这是一种更加安全的设置。要使用它,我们首先需要生成SSH密钥。在Windows中,可以通过与流行的SSH客户端捆绑的PuTTYgen应用程序轻松完成此操作。打开应用程序并单击生成。PuTTYgen 将生成一个公钥和一个私钥。公钥在顶部的框中可见。在继续之前,还需要设置一个密码短语作为密码,与密钥对一起使用。
以 root 身份重新登录服务器并使用以下命令打开您帐户的主目录:
su – [你的用户名]
首先,我们需要创建一个存放自己的公钥的文件夹并设置允许我们在其中创建文件的权限。
mkdir ~/.ssh
chmod 700 ~/.ssh
接下来,我们需要创建一个文件,将在其中粘贴 PuTTYgen 生成的公钥。再一次,我们将使用 Nano文本编辑器:
纳米 ~/.ssh/authorized_keys
要使用密钥对并使用 PuTTY 连接到您的帐户,请打开 SSH 客户端设置并转到Connection > SSH > Auth。使Private Key File for Authentication字段选择我们的私钥并保存更改。唯一剩下的就是禁用您帐户的密码验证。为此,我们需要编辑 SSH配置文件:
etc/ssh/sshd_config
就像将PassWordAuthentication值从Yes更改为No一样简单。
6、设置防火墙
防火墙是网络托管服务器最重要的安全机制之一。它的工作是过滤传入和传出的流量,并确保数据仅对授权访问它的人可用。大多数 Linux 发行版使用称为iptables的防火墙来过滤进出服务器的流量。在大多数情况下,它是默认安装的。但是,对于不同的发行版,我们可以使用各种实用程序来配置防火墙规则。例如,Ubuntu的默认防火墙配置工具称为UFW,而CentOS的等效工具是Firewalld。所有这些工具的目的是简化配置iptables的任务。