小编已经分享了vps搭建第四部分的教程,今天小编将给大家讲解vps搭建需要的额外的安全性,也就是搭建教程的第五部分。
vps搭建教程(五)到目前为止,我们安装的默认设置提供了合理的安全级别,只要我们选择难以猜测的唯一密码并快速安装安全补丁(最好是自动安装)。尽管如此,我们的vps会不断受到黑客和垃圾邮件发送者的攻击,因此我们应该尽可能多地删除漏洞并定期检查日志文件。vps搭建需要额外的安全性有:
1、限制Virtualmin登录
Virtualmin界面是黑客获得对您服务器的root访问权限的另一种方式。我强烈建议为任何超级用户或“sudo”组成员的用户启用双重身份验证。我们可以在WebminWebminConfigurationTwo-FactorAuthentication中启用此功能。我发现选择GoogleAuthenticator作为提供者是最简单的,但实际上使用Authy进行身份验证(因为它可以避免使用API密钥,而且如果你丢失了手机,你可以恢复你的帐户)。
我们可能需要安装Perl模块Authen::OATH,这在Ubuntu中很容易做到:sudoaptinstalllibauthen-oath-perl
我们可以在WebminWebmin用户密码限制中强制使用强密码,建议至少设置10个字符的最小长度。
我们还可以根据用户限制对某些Webmin模块的访问,并且在任何情况下删除不需要的模块以整理Webmin菜单都很有用。我建议创建一个名称为“管理员”的组,然后将自己添加到该组中。然后在管理员可用的Webmin模块中停用“硬件”和“集群”组中的几乎所有内容,以及左侧菜单栏中未使用的模块中显示的所有内容。我通过转到WebminWebminConfigurationReassignModules将“系统时间”模块移动到“系统”菜单。当你在那里时,访问系统时间中的“时间服务器同步”选项卡并配置一个时间服务器名称(我使用uk.pool.ntp。这很重要,因为如果服务器时间偏离得太远,两因素身份验证将不起作用。
2、禁用不必要的服务
proftpd、clamav-daemon、clamav-freshclam和命名服务通常不是必需的,可以通过转到WebminBootupandShutdown并单击StartatboottimeNoSave然后StopNow和Delete来禁用以节省内存。您还可以在WebminNetworkingFirewalld中禁用ftp端口20和FTP。(不要为TCP或UDP禁用DNS端口53,因为虽然它可能看起来有效,但如果对传出查询的响应太大,则可能会被阻止。)
3、减轻cookie劫持
在Webmin工具PHP配置中的全局PHP配置中,您可以通过单击左上角的设置齿轮并将列表更改为您使用的版本来设置PHP配置文件列表(默认值是错误的)。例如:
/etc/php/*/fpm/php.ini=配置通过php-fpm运行的脚本
/etc/php/*/cli/php.ini=配置命令行脚本
要减轻cookie劫持,请添加以下设置:
session.cookie_samesite="宽松"
session.cookie_