有人就是这么无聊,使用”密码暴力猜解”想获得你网站的后台管理权限,DirectAdmin刚安装好后马上就可以见到人有在暴力猜解了。看了一下猜测的用户名,感觉如果你的密码过短或者不是很复杂,那很快就被猜解成本,那后果很严重。虽然现在安装DirectAdmin遇到这样的情况,但我相信安装其它主机管理系统或者直接LNMP环境,一样会有人在不停扫描你的端口。于是安全很重要,特别是使用VPS的朋友,安全问题不可忽视。还好DirectAdmin针对这样的问题提供了解决方案,再好的解决方案,也需要你的复杂密码做保证。
官方帮助中心给我们的解决方案:给DA后台增加IP锁定功能。它是利用iptables规则进行限制,具体是什么规则我们就不深究了,跟着官方说明一起来安装吧。
首先,下载官方的iptables规则
cd /etc/init.d #进入目录
mv iptables iptables.backup #备份原文件
wget http://files1.directadmin.com/services/all/iptables #下载新iptables文件
chmod 755 iptables #设置文件权限
然后,重启iptables
/etc/init.d/iptables restart
下载锁定IP脚本程序,设置文件权限.
cd /usr/local/directadmin/scripts/custom
wget http://files1.directadmin.com/services/all/block_ip.sh
wget http://files1.directadmin.com/services/all/show_blocked_ips.sh
wget http://files1.directadmin.com/services/all/unblock_ip.sh
chmod 700 block_ip.sh show_blocked_ips.sh unblock_ip.sh
创建一个清单文本,以便查看被锁定的IP列表
touch /root/blocked_ips.txt
touch /root/exempt_ips.txt
通过以上操作,只要进入DA面板后台–>密码暴力猜解监控,点击监控到的IP最后的IP Info,然后根据提示操作就可以隔离该IP了。
如需自动锁定,还需要输入以下代码:
cd /usr/local/directadmin/scripts/custom
wget http://files1.directadmin.com/services/all/brute_force_notice_ip.sh
chmod 700 brute_force_notice_ip.sh
并且在DA面板后台–>管理员设置,在安全性那里进行如下置。
除此之外,像SSH端口,DirectAdmin后台访问端口务必进行修改。
DirectAdmin后台访问端口修改方法如下,登录SSH到你的VPS或服务器,执行下面2行语句:
sed -i ‘s/port=2222/port=12345/g’ /usr/local/directadmin/conf/directadmin.conf
service directadmin restart
其中12345修改为你想要的数字,设置时注意不要和你的常用端口产生冲突,最好是5位数且不高于65535。除此之外,如果你用VPS的,还需要其它安全方面的设置:基于CentOS系统的VPS安全设置与优化。
I try to make it simple!
所以换成这个主题了。
这个主题是临时的,因为这段时间还在测试新的空间。
设置完毕后这两天再也看不到有人狂扫了。效果显注。
这方法强大