说明:一般用过VPS的人查一下系统日志,可以参考:通过Auth.log来查看SSH是否被扫,会发现ssh经常被人扫描,多的有几万次,万一被破解会造成很多问题,特别是在上面备份东西和网站的人来说,损失巨大,所以我们要采取一些措施来尽量减少这样的事发生,这里说下通过安装Fail2ban来防止暴力破解。用Fail2ban可以进行FTP/SSH登录频率限制,如果登录尝试多少次的IP地址,然后给予限制。
更多基础的VPS安全设置可参考:修改SSH端口+禁止ROOT登陆,Linux VPS 使用DDOS deflate来抵御DDOS攻击
1、安装Fail2ban
CentOS
yum install epel-release
yum install fail2ban
Debian/Ubuntu
apt-get install fail2ban
2、配置Fail2ban
直接用WinSCP工具或者其它FTP管理工具编辑/etc/fail2ban/jail.conf文件。
ignoreip = 127.0.0.1 #忽略的IP列表,不受设置限制(白名单)
bantime = 600 #屏蔽时间,单位:秒
findtime = 600 #这个时间段内超过规定次数会被ban掉
maxretry = 3 #最大尝试次数
backend = auto #日志修改检测机制(gamin、polling和auto这三种)
[ssh-iptables] #针对各服务的检查配置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置
enabled = true #是否激活此项(true/false)
filter = sshd #过滤规则filter的名字,对应filter.d目录下的sshd.conf
action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数
sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com] #触发报警的收件人
logpath = /var/log/secure #检测的系统的登陆日志文件
maxretry = 5 #最大尝试次数
启动的时候需要把前面#去掉,然后修改对应的参数。使用service fail2ban start启动服务即可。
原创文章,作者:南猫,如若转载,请注明出处:https://southcat.net/1488/
不妨点个广告再走嘛
相关推荐
-
一个轻量级的企业Wiki和团队知识分享平台:MM-Wiki搭建教程
说明:很早前有小伙伴问了下有没有团队wiki程序,最近好像看到了个MM-Wiki,感觉还不错,一个轻量级的企业知识分享与团队协同软件,可用于快速构建企业Wiki和团队知识分享平台。部署方便,使用简单,帮助团队构建一个信息共享、文档管理的协作环境,安装也是很简单的,毕竟是基于Golang,这里就介绍下。 截图 特点 部署方便,基于golang编写,只需要下载对于平台下二进制文件执行即可。 快速安装程序, 提供方便的安装界面程序,无需任何手动操作。 独立的空间,空间是一组文档的集合,一般为公司部门或者团队,空间下的文档相互独立。空间可根据需求设置空间访问级别。 完善的系统权限管理,系统可以自定义角色,并为不同角色授予不同的权限。 集成统一登录,本系统支持通过外部系统认证用户, 比如与公司的LDAP登录融合。具体请看登录认证功能。 邮件通知功能,当开启邮件通知,文档更改会通知所有关注该文档的用户。 文档具有分享和下载功能,目前只支持下载MarkDown源文件。 安装 Github地址:https://github.com/phachon/mm-wiki 1、安装Mysql你有宝塔的,直接在宝塔上安装Mysql,安装过的可以跳过,直接进行下一步,没有安装的可以手动安装下。 #CentOS 6系统 rpm -ivh http://repo.mysql.com/mysql57-community-release-el6.rpm yum install mysql-community-server -y service mysqld start chkconfig mysqld on #CentOS 7系统 rpm -ivh http://repo.mysql.com/mysql57-community-release-el7.rpm yum install mysql-community-server -y systemctl start mysqld systemctl enable mysqld #Debian/Ubuntu系统 apt update apt install mysql-server -y 如果Debian或Ubuntu在安装期间有弹出窗口要你输入密码就设置一个,没有的话密码就是空格。 对于CentOS安装MySQL 5.7的时候会生成一个随机密码,使用命令查看: grep "password" /var/log/mysqld.log #大致信息,******为密码 [Note] A temporary password is generated for root@localhost: ****** 然后接下来CentOS和安装期间没要求输入密码的Debian或Ubuntu,就需要修改数据库密码: #CentOS系统,第一行passwd为你上面看到的密码,第四行moerats为要修改的密码,均自行修改 mysql -u root -ppasswd mysql> set global validate_password_policy=0; mysql> set global validate_password_length=4; mysql> set password=password("moerats"); mysql> exit; #Debian、Ubuntu系统,第一行登录数据库的时候直接Enter跳过,第二行moerats为要修改的密码,自行修改 mysql -u...
-
使用Mysqldump备份和还原MySQL数据库
linux vps最方便,在ssh下使用就可。 登入MySQL数据库 mysql -uroot -pmypassword root为mysql数据库用户名,mypassword为密码 备份MySQL数据库 1、备份单个数据库 mysqldump -uroot -pmypassword wp > wpbak.sql root为mysql数据库用户名,mypassword为密码,wp为数据库名,wpbak.sql为备份成的文件。 2、备份多个数据库 mysqldump -uroot -pmypassword --databases wp stuff > wpbak.sql root为mysql数据库用户名,mypassword为密码,wp、stuff为数据库名,wpbak.sql为备份成的文件。 3、备份所有数据库 mysqldump -uroot -pmypassword --all-databases > all-databases.sql root为mysql数据库用户名,mypassword为密码,all-databases.sql为备份成的文件。 还原MySQL数据库 1、还原单个数据库 mysql -uroot -pmypassword [database_name] < dumpfilename.sql root为mysql数据库用户名,mypassword为密码,[database_name]为数据库名,dumpfilename.sql为还原的数据 2、还原多个数据库 mysql -uroot -pmypassword < all-databases.sql
-
Linux VPS性能/网络测试综合脚本
说明:目前的VPS测试脚本有很多,不过测试项目都不是很全,于是千影大佬根据众多测试脚本重新修改编写了一个全新的Linux VPS测试脚本。该脚本最大的特点是测试全面,运行迅速,不会因为硬盘i/o低下或者网络状况不好,造成测试时间较长的问题,无论是什么机器,不带UnixBench都能很快的执行完,测试完后还可以通过网页分享结果。 测试项目 获取系统基本信息 测试硬盘存取延迟、iops、存取速度 测试本机带宽 测试本机到25个国外节点下载速度 测试本机到8个国内节点下载速度 测试本机到国内9个节点的路由 测试本机到国内9个节点的延迟与丢包 使用 1、下载脚本 wget -N --no-check-certificate https://raw.githubusercontent.com/chiakge/Linux-Server-Bench-Test/master/linuxtest.sh 2、使用命令 #不含UnixBench的测试,无网页分享 bash linuxtest.sh #不含UnixBench的测试,带网页分享 bash linuxtest.sh s #含UnixBench的测试,不带网页分享 bash linuxtest.sh a #含UnixBench的测试,带网页分享 bash linuxtest.sh as 测试样本 ========== 开始记录测试信息 ========== 测试时间:2018-05-15 18:06:27 ---------------------------------------------------------------------- CPU model : Virtual CPU a7769a6388d5 Number of cores : 1 CPU frequency : 2394.454 MHz Total size of Disk : 20.2 GB (4.7 GB Used) Total amount of Mem : 492 MB (107 MB Used) Total amount of Swap : 1023 MB (4 MB Used) System uptime : 2 days,...
-
Linux vps快速安装wordpress教程
说明:刚开始用虚拟主机建站的时候我们总是习惯用ftp或者WinSCP工具上传网站源文件,一个文件夹里的东西全部上传虽然有的程序不大,但是文件比较多比较碎上传起来就比较慢。等到我们渐渐的摆脱虚拟主机开始用vps以后就不用再这样了,用的比较多的web程序如wordpress官网都有在线下载的压缩包。只需要下载到web目录解压就行了,速度比你通过ftp上传快多了。这里以军哥的LNMP为例,新建虚拟主机,例如xx.com。 1、下载解压wordpress我们来到网站目录 cd /home/wwwroot/xx.com 然后下载wp安装压缩包 wget https://cn.wordpress.org/wordpress-4.5.2-zh_CN.tar.gz 解压 tar xzvf wordpress-4.5.2-zh_CN.tar.gz 这时候能看到解压出来个wordpress目录,我们要把目录里的文件都移到网站根目录,执行命令: cd wordpress mv * ../ cd .. 2、修改目录权限如果你不修改一下目录权限可能会出现一些错误,要保证网站目录下所有文件都是www所属,要不然会显示nobody回到上层目录cd ..亦即/home/wwwroot目录,运行命令:chown www:www xx.com -R即可。
-
一个基于GO的轻量级文件管理系统:Filebrowser安装教程
简介 File Browser是一个基于GO的轻量级文件管理系统支持登录系统 角色系统、在线PDF、图片、视频浏览、上传下载、打包下载等功能。总而言之很强大。 类似的文件管理还有h5ai、NextCloud等,安装方法可参考:NextCloud安装教程,h5ai安装教程。 截图 安装 官方地址:https://filebrowser.xyz/ 1、安装运行安装命令: curl -fsSL https://filebrowser.xyz/get.sh | bash 运行命令: #后面参数分别是监听地址、端口,文件存放根目录,数据库存放路径 filebrowser -a 0.0.0.0 -p 8888 -r /file -d /opt/filebrowser.db 如果文件根目录不存在的话,就需要新建一下再启动,然后就可以访问ip:8888了,管理员用户名和密码均为admin。 对于CentOS系统,还需要开启8888端口,不然会打不开Web面板,使用命令: #CentOS 6 iptables -I INPUT -p tcp --dport 8888 -j ACCEPT service iptables save service iptables restart #CentOS 7 firewall-cmd --zone=public --add-port=8888/tcp --permanent firewall-cmd --reload 2、开机自启接下来这里可以建一个简单的systemd配置文件,适用于CentOS 7、Debian 8+、Ubuntu 16+,使用命令: #先输入命令参数,只要上面filebrowser后面的即可 command="-a 0.0.0.0 -p 8888 -r /file -d /opt/filebrowser.db" #然后将以下代码一起复制到SSH运行 cat > /etc/systemd/system/filebrowser.service <<EOF [Unit] Description=filebrowser After=network.target [Service] Type=simple ExecStart=$(command -v filebrowser) $command Restart=on-failure [Install] WantedBy=multi-user.target EOF 然后启动并设置开机自启: systemctl start filebrowser systemctl enable filebrowser...
-
Nginx环境下对部分网站做防盗链设置及外链的跳转
说明:对于Nginx防盗链的设置,之前发过一篇文章:Linux VPS下Nginx与Apache环境防盗链设置方法,而这个方法就是连所有的网站都屏蔽了,有时候并不适合有些网站,现在再分享一个Nginx限制部分网站外链权限的方法。 方法 以下代码均在站点配置文件添加即可! 1、屏蔽部分网站和IP if ($http_referer ~* abcd.com|bcde.org|cdef.me|103.35.13.4|235.35.3.2) { rewrite ^/ https://www.google.com/logo.png; } 意思是屏蔽那些网站或IP段的外链请求,并且替换图片为https://www.google.com/logo.png,为何还要屏蔽IP段呢? 因为好多大人网站会直接采用IP地址访问,所以加上了这个匹配规则。 2、设置部分网站跳转 if ($http_referer ~* abcd.com|bcde.org|cdef.me) { rewrite ^(.*)$ https://blog.southcat.net.com$1 permanent; } 可以将以上的网址访问过来链接自动跳转到https://blog.southcat.net上,其他网站外链过来的话连接不变,这样可以把一部分访问量很大的网站流量转移到其他服务器上。 3、设置部分文件夹跳转 if ($http_referer ~* abcd.com|bcde.org|cdef.me) { rewrite ^/picture/(.*)$ https://blog.southcat.net/picture/$1 permanent; }
-
SSH密钥安装器升级,一键安装VPS密钥安全登录
说明:使用vps的基本都会有被扫描的情况,可参考:通过Auth.log来查看VPS服务器是否被扫描和暴力破解。一般我们都会修改SSH端口来防止这种事发生,不过安全性更高的操作当属使用密钥登录。之前分享过一个教程,参考:为Linux VPS配置SSH-KEY登录并禁用root密码,感觉有点麻烦,这里分享个由KiritoMiao大佬制作的一键安装脚本,安装很快。 前言 有大佬说可以读Github帐号的公钥,可以不需要再fork修改了(据说可以支持多个公钥,未测试)。 使用 首先准备SSH Key和Github账号。SSH Key配置方法参考:https://www.southcat.net/archives/229/。 然后前往:https://github.com/settings/keys登记你的公钥。 再用服务器运行以下命令: wget https://raw.githubusercontent.com/KiritoMiao/SSHKEY_Installer/master/key.sh bash key.sh [你的Github用户名] 完成后,就可以使用密钥登入了(同时会关闭密码登入提高安全性)。
-
Smart Resize:基于HTML5的在线批量裁剪图片工具
简介 Smart Resize——也许是世界上最快且最智能的在线批量裁剪图片工具。 网站地址:https://www.smartresize.com/zh-cn(简体中文) 特点 1、基于HTML5的图片裁剪利器和其它在线图片裁剪工具不一样的是,Smart Resize全部基于HTML5,所有的图片裁剪及尺寸调整都在您的浏览器中进行,不需要上传至后端服务器,这也就意味着它能极速地处理您的图片,无任何文件大小及尺寸的限制。也不需要安装额外的软件或插件,更没有繁琐的注册登录。 2、最智能的图片裁剪工具Smart Resize能智能地检测到每张图片的主次部分并自动裁剪、缩放到目标尺寸,它也能将图片中的人脸作为关键点加入到主体识别的算法中(可选),这个在批量裁剪中是非常方便实用的。所以您无需对每张图片犹豫该裁剪哪,全部交给Smart Resize吧。
-
使用Unix Sockets的Redis作为对象缓存来加速wordpress站点
介绍 当 Redis 走 Unix Sockets 是在 OSI 模型中而没有哦组 TCP/IP,可以实现约 25% 的性能提升。 安装 以 Ubuntu 16.04 LTS 为例, 一、安装 Redis apt-get install redis-server 二、查看目前 Redis 运行在那个用户上 root@host:~# sudo ps aux | grep redis sudo: unable to resolve host www.xx.com redis 29409 0.0 0.8 37224 8796 ? Ssl 10:43 0:00 /usr/bin/redis-server 127.0.0.1:6379 可见 Redis 运行在 redis 上 三、添加到 Apache、Nginx 和 PHP-FPM 所在的用户组,一般来说软件源安装的都是 www-data,编译的都是 www,但是不绝对,我这里是在 www-data usermod -g www-data redis 四、创建 unix socket 所在文件夹 mkdir -p /var/run/redis/ 五、赋予权限 chown -R redis:www-data /var/run/redis 六、修改配置文件,我的是在 /etc/redis/redis.conf将 unixsocket 和 unixsocketperm 前的 # 去掉,并将 unixsocketperm 的值由...
-
Proxyer:一款简单且带Web面板的内网穿透工具
说明:关于内网穿透的工具,博主已经介绍的非常多了,比如frp、lanproxy、nps、holer、sish和serveo等,用起来都还行,不过有些在安装和使用上对于一些新手来说,还是比较复杂的,最近博主发现了个新的内网穿透项目Proxyer,目前仅支持TCP协议、虽然看起来功能比较简单,但基本可以满足日常使用了,特别是在安装和使用方面,对于新手是比较友好的,这里就分享下。 截图 服务端 Github地址:https://github.com/khvysofq/proxyer 1、安装Docker #CentOS 6 rpm -iUvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum update -y yum -y install docker-io service docker start chkconfig docker on #CentOS 7、Debian、Ubuntu curl -sSL https://get.docker.com/ | sh systemctl start docker systemctl enable docker 2、安装Docker Compose curl -L "https://get.daocloud.io/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose 3、安装Proxyer wget https://raw.githubusercontent.com/khvysofq/proxyer/master/docker-compose.yml #请将后面1.1.1.1改成你的服务器ip地址后再运行 export PROXYER_PUBLIC_HOST=1.1.1.1 docker-compose up -d 安装完成后,就可以通过ip:6789访问服务端WEB管理面板了,进去后需要设置一个客户端认证密码。 然后CentOS系统建议关闭防火墙使用,或者打开部分端口也行,关闭命令: #CentOS 6系统 service iptables stop chkconfig iptables off #CentOS 7系统 systemctl stop firewalld systemctl disable firewalld 像阿里云等服务器,还需要去安全组那里开放下端口。 客户端 进入服务端面板后,界面会提供Linux、Windows、macOS客户端版本,然后自行根据自身系统下载指定版本的压缩包即可。 Windows可以直接下载界面版本,然后双击可执行文件,会弹出一个网页界面,输入上面的认证密码,即可开始配置穿透。 Linux下载压缩包后,解压出二进制文件,直接在当前目录使用./proxyer命令运行即可。