今天(tian)，縱橫數據和大(da)家一起來(lai)分(fen)享VPS最基本的安全配置(zhi)。

第一、修改SSH端口

VPS默(mo)認的SSH端口是22，那(nei)些掃描(miao)窮舉密碼的，也勢必從22開始，所以，修改(gai)22為一個(ge)其他的數字，是非(fei)常有必要的。

好了，SSH登陸VPS，修改配置(zhi)文件。

vi /etc/ssh/sshd_config

找到#Port 22，去(qu)掉前面的#，并修(xiu)改為(wei)Port 1380(此數字盡量用(yong)4位數，避免被(bei)占(zhan)用(yong))，然后(hou)，重(zhong)啟sshd

service sshd restart

***注(zhu)意(yi)事項(xiang)：如果您害(hai)怕修改(gai)錯誤，導致自己都不能登陸(lu)VPS，也可以(yi)找到#Port 22去掉#，然后加(jia)入一行Port 1380，開啟另(ling)一個putty窗(chuang)口，嘗試(shi)新端(duan)口登陸(lu)，確認(ren)OK后，再(zai)刪除Port 22即可！

第(di)二、禁用root登(deng)陸(lu)，添加新賬戶

首先，添(tian)加新用戶(hu)賬號(hao)

useradd zrblog   #此用(yong)戶自定(ding)義，此處以zrblog為例(li)

設定新用戶密碼

passwd zrblog

輸入兩次密碼之(zhi)后，OK。

接下來(lai)通(tong)過修改配(pei)置文件禁(jin)止root登陸，依然是(shi)修改/etc/ssh/sshd_config。

vi /etc/ssh/sshd_config

找到#PermitRootLogin yes，去掉前面的#，并將yes改為no，然(ran)后重(zhong)啟sshd。

service sshd restart

嘗試用(yong)新(xin)的用(yong)戶登陸，然后(hou)用(yong)su root提(ti)權到root。

login as: zrblog         #新用戶名

zrblog@*.*.*.* password:*****               #新用戶密(mi)碼

Last login: Thu Mar 5 08:14:21 2012 from *.*.*.*

su root                            #提權

Password:***********                           #ROOT密碼

***注意事項(xiang)：設定強悍的(de)密(mi)碼也(ye)是(shi)保證賬戶安全的(de)屏(ping)障，比如用(yong)復雜的(de)，隨機的(de)密(mi)碼做root密(mi)碼，被窮舉猜解到的(de)幾率(lv)也(ye)是(shi)非常小的(de)，跟買福利彩一樣！

第三、安裝DDos deflate防(fang)御輕量級CC和DDOS

在(zai)wp論壇看到一位拿(na)Hostigation開免空的朋友說了(le)一句非常(chang)經典的話：現在(zai)小孩子都會D站……低調是最好的選擇。盡量不在(zai)某些地方顯擺(bai)，過于(yu)招搖，也算做了(le)一道(dao)安全防御吧！話說常(chang)在(zai)江邊(bian)走(zou)，哪有不濕鞋？防患于(yu)未(wei)然，是很有必要的。好了(le)，廢話說了(le)一堆，現在(zai)安裝DDos deflate。

在說到(dao)DDos deflate之(zhi)前(qian)，我們還需要了(le)解一個東西：iptables

iptables是linux內核集成的IP信息包(bao)過(guo)濾系統，他可以(yi)簡單的添加、編輯和除去規(gui)則，而這些規(gui)則是在做信息包(bao)過(guo)濾決定時，防火墻所遵循和組成的規(gui)則。

我們首(shou)選確(que)認iptables服務狀態(tai)(這(zhe)個一般(ban)VPS系統都(dou)帶(dai)了)

service iptables staus

確認之(zhi)后，安裝DDos deflate

wget //www.inetbase.com/scripts/ddos/install.sh
chmod +x install.sh
./install.sh

安(an)裝完成后，還需要修(xiu)改配置文件，達(da)到利用(yong)iptables自動鎖定(ding)IP的(de)目(mu)的(de)。

vi /usr/local/ddos/ddos.conf

接下來修(xiu)改(gai)，這里主要是APF_BAN=1修(xiu)改(gai)為0(使用iptables)，另外EMAIL_TO=”root”可以(yi)將root修(xiu)改(gai)為你(ni)的一個Email地址，這樣系統辦掉哪個IP，會有郵件提(ti)示你(ni)。

##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”  //IP地址白名單
CRON=”/etc/cron.d/ddos.cron”    //定時執行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with –cron
#####          option so that the new frequency takes effect
FREQ=1   //檢查時間間隔，默認1分鐘
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150     //最大連接數，超過這個數IP就會被屏蔽，一般默認即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=0        //使用APF還是iptables。推薦使用iptables,將APF_BAN的值改為0即可。
##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1   //是否屏蔽IP，默認即可
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=admin@zrblog.net   //當IP被屏蔽時給指定郵箱發送郵件，推薦使用，換成自己的郵箱
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600    //禁(jin)用IP時(shi)間，默認600秒，可根據情況調整

由于這個(ge)系統默認白名(ming)單有些問題，經常會有失誤，所以，我們最好(hao)再設定手工設置白名(ming)單并不(bu)可修改。

vi /usr/local/ddos/ignore.ip.list  #手工設置白名單IP
chattr +i /usr/local/ddos/ignore.ip.list    #強制不允許修改
chattr -i /usr/local/ddos/ignore.ip.list     #解(jie)除不(bu)允(yun)許修改

卸載(zai)DDos deflate方法。

wget //www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 700 uninstall.ddos
./uninstall.ddos

好(hao)了，有關簡(jian)單的安全配置，就(jiu)只說(shuo)以(yi)上，當然，您(nin)還可以(yi)配合系統防(fang)火(huo)墻(qiang)，做(zuo)更高級的設定。