今天，縱橫數(shù)據(jù)和大家一起來分享VPS最基本的安全配置。

第一、修改SSH端口

VPS默認的SSH端口是22，那些掃描窮舉密碼的，也勢必從22開始，所以，修改22為一個其他的數(shù)字，是非常有必要的。

好了，SSH登陸VPS，修改配置文件。

vi /etc/ssh/sshd_config

找到#Port 22，去掉前面的#，并修改為Port 1380(此數(shù)字盡量用4位數(shù)，避免被占用)，然后，重啟sshd

service sshd restart

***注意事項：如果您害怕修改錯誤，導致自己都不能登陸VPS，也可以找到#Port 22去掉#，然后加入一行Port 1380，開啟另一個putty窗口，嘗試新端口登陸，確認OK后，再刪除Port 22即可！

第二、禁用root登陸，添加新賬戶

首先，添加新用戶賬號

useradd zrblog   #此用戶自定義，此處以zrblog為例

設定新用戶密碼

passwd zrblog

輸入兩次密碼之后，OK。

接下來通過修改配置文件禁止root登陸，依然是修改/etc/ssh/sshd_config。

vi /etc/ssh/sshd_config

找到#PermitRootLogin yes，去掉前面的#，并將yes改為no，然后重啟sshd。

service sshd restart

嘗試用新的用戶登陸，然后用su root提權(quán)到root。

login as: zrblog         #新用戶名

zrblog@*.*.*.* password:*****               #新用戶密碼

Last login: Thu Mar 5 08:14:21 2012 from *.*.*.*

su root                            #提權(quán)

Password:***********                           #ROOT密碼

***注意事項：設定強悍的密碼也是保證賬戶安全的屏障，比如用復雜的，隨機的密碼做root密碼，被窮舉猜解到的幾率也是非常小的，跟買福利彩一樣！

第三、安裝DDos deflate防御輕量級CC和DDOS

在wp論壇看到一位拿Hostigation開免空的朋友說了一句非常經(jīng)典的話：現(xiàn)在小孩子都會D站……低調(diào)是最好的選擇。盡量不在某些地方顯擺，過于招搖，也算做了一道安全防御吧！話說常在江邊走，哪有不濕鞋？防患于未然，是很有必要的。好了，廢話說了一堆，現(xiàn)在安裝DDos deflate。

在說到DDos deflate之前，我們還需要了解一個東西：iptables

iptables是linux內(nèi)核集成的IP信息包過濾系統(tǒng)，他可以簡單的添加、編輯和除去規(guī)則，而這些規(guī)則是在做信息包過濾決定時，防火墻所遵循和組成的規(guī)則。

我們首選確認iptables服務狀態(tài)(這個一般VPS系統(tǒng)都帶了)

service iptables staus

確認之后，安裝DDos deflate

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod +x install.sh
./install.sh

安裝完成后，還需要修改配置文件，達到利用iptables自動鎖定IP的目的。

vi /usr/local/ddos/ddos.conf

接下來修改，這里主要是APF_BAN=1修改為0(使用iptables)，另外EMAIL_TO=”root”可以將root修改為你的一個Email地址，這樣系統(tǒng)辦掉哪個IP，會有郵件提示你。

##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”  //IP地址白名單
CRON=”/etc/cron.d/ddos.cron”    //定時執(zhí)行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with –cron
#####          option so that the new frequency takes effect
FREQ=1   //檢查時間間隔，默認1分鐘
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150     //最大連接數(shù)，超過這個數(shù)IP就會被屏蔽，一般默認即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=0        //使用APF還是iptables。推薦使用iptables,將APF_BAN的值改為0即可。
##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1   //是否屏蔽IP，默認即可
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=admin@zrblog.net   //當IP被屏蔽時給指定郵箱發(fā)送郵件，推薦使用，換成自己的郵箱
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600    //禁用IP時間，默認600秒，可根據(jù)情況調(diào)整

由于這個系統(tǒng)默認白名單有些問題，經(jīng)常會有失誤，所以，我們最好再設定手工設置白名單并不可修改。

vi /usr/local/ddos/ignore.ip.list  #手工設置白名單IP
chattr +i /usr/local/ddos/ignore.ip.list    #強制不允許修改
chattr -i /usr/local/ddos/ignore.ip.list     #解除不允許修改

卸載DDos deflate方法。

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 700 uninstall.ddos
./uninstall.ddos

好了，有關(guān)簡單的安全配置，就只說以上，當然，您還可以配合系統(tǒng)防火墻，做更高級的設定。