2012 年,Sophos 估计 每天有超过 30,000 个网站被黑客入侵。鉴于互联网在过去几年中的增长速度,目前的数字可能要高得多。作为可以托管多个网站的 cPanel VPS的所有者 ,您的背上有一个相当大的目标。幸运的是,您选择的设置有许多机制来保护您的虚拟服务器。今天,我们将看看它们是什么……
为什么选择 cPanel VPS 主机?
首先,让我们看看为什么cPanel VPS是您可以选择的最佳托管平台之一。共享主机可能是最便宜的可用解决方案,但它充满了问题。您使用与其他数十个用户相同的系统资源,因此您永远无法确定性能是否达到标准。与多个其他用户共享 IP 的影响也可能很严重,尤其是当您的“邻居”决定发送垃圾邮件时。
虚拟专用服务器为您提供更好的安全性和更可靠的性能。您将获得专为您保留且始终可用的有保证的硬件资源。由于您将是唯一使用它的人,因此您也不必担心将您的专用 IP 列入黑名单。您拥有整个服务器,因此主机允许您完全控制机器。VPS 在自定义方面非常灵活,并且可以创造奇迹……如果您知道自己在做什么。
WHM 和 cPanel在安全服务器管理方面减轻了客户的负担。有了它们,您可以获得所需的所有工具,以最少的技术工作创建最佳的托管环境。管理平台简化并自动化了许多管理任务。对于组织而言,这可以节省大量时间,在商业世界中,时间通常等于金钱。
出色的 VPS 托管用例
安全 VPS 充当独立的专用服务器。它有自己的操作系统、底层硬件设置和 IP 地址。因此,它几乎可以做任何专用服务器可以做的事情。
除其他外,您可以将其用作:
- 文件存储设施
- 异地备份设施
- 新应用程序的测试平台
- 邮件服务器
- 游戏服务器
- VoIP 服务器
- 虚拟专用网络
在网络托管方面,VPS 解决方案非常适合需要可靠性能和高度安全性的网站。其中包括网上商店、电子学习平台和媒体渠道。
托管服务器与非托管 VPS 服务器的安全性
购买可靠的 VPS 服务器,您首先需要确定最适合您的安全计划的服务类型——托管 VPS 或自我托管 VPS。这一切都归结为一个简单的问题:
您对安全性和设置了解多少?如果您精通技术和服务器管理,那么选择非托管解决方案更为合理,因为您可以在配置硬件和软件以获得最大保护时获得自由。
尽管如此,在大多数情况下,企业主更愿意专注于网站建设和推广,而不是深入研究技术问题。托管 VPS 计划可确保他们始终得到托管服务提供商的支持。从垃圾邮件和病毒防护到高级 DDoS 防护或安全更新——几乎没有您的主机无法处理的问题。
在适当的情况下,任何一种选择都可以为您提供很好的帮助。
Cpanel VPS 托管安全 – 提示和技巧
尽管单个物理机可以托管多个虚拟服务器,但支持 VPS 托管的虚拟化技术允许 完全隔离的环境。与共享服务器相比,它是 一种更安全的设置,但如果您想要达到适合成功在线业务的保护级别,您应该始终争取更多。 您可能会惊讶地发现WHM 和 cPanel可以为您提供多少帮助。这是开始的地方。
设置防火墙
防火墙是系统管理员用来保护服务器和过滤网络访问的首批工具之一。它的工作是遵循预设的策略,将恶意流量拒之门外,让好的流量进入。
由于我们谈论的是 cPanel VPS 平台,因此您的虚拟服务器运行Linux并有一个名为Iptables的防火墙实用程序。您可以尝试自行配置它,但由于您拥有 cPanel 和 WHM,您最好通过其直观的图形用户界面 (GUI) 进行导航。
许多 Linux 服务器所有者使用ConfigServer Security & Firewall (CSF)。您需要 root 用户访问权限和几个命令才能在服务器上安装它,然后您可以通过 WHM 激活和配置它。因为它被广泛使用,所以网上有很多关于正确设置的信息。
CSF 已证明其作为防火墙实用程序的价值,如果有人决定对您的服务器发起DDoS 攻击,它可以为您提供极大的帮助。一个好主意是还安装Web 应用程序防火墙 (WAF)以保护您的站点免受跨站点脚本攻击、SQL 注入和其他攻击。
市场上有很多 WAF,但ModSecurity仍然是许多人的最爱。它受欢迎的一个原因是它易于与WHM 和 cPanel集成。ModSecurity 是 Apache 模块的一部分,您可以在 WHM 中通过单击几下鼠标来激活它。除了安全解决方案,请确保设置正确的防火墙规则。
恶意软件和病毒防护
运行 Linux VPS 服务器意味着与使用 Windows 机器相比,您 的安全问题更少。在没有定期检查恶意代码和受感染文件 的恶意软件扫描程序的情况下运行虚拟服务器是很危险的。对于带有 cPanel 的 Linux 服务器,两种最流行的恶意软件扫描程序是ClamAV和ImunifyAV。
吸引力来自于两者提供与 WHM 和 cPanel 相对无缝集成的事实。两者都可以在 WHM 中激活,并且具有几乎相同的恶意软件检测能力。也就是说,尽管有一些 GUI 选项,但正确配置 ClamAV 可能需要一些命令行工作。同时,ImunifyAV更易于使用,但您只能通过 WHM 启动它的扫描。另外,免费版本缺少一些基本功能。
垃圾邮件过滤器
最大限度地减少您收件箱中未经请求的电子邮件的数量至关重要。如果您没有任何保护措施,垃圾邮件可能会迅速填满您帐户的配额,让您错过重要的通信。在企业环境中,垃圾邮件过滤器更为重要。攻击者经常针对喜欢点击的员工进行网络钓鱼活动,结果有时可能是毁灭性的。
重要提示:WHM 和 cPanel 附带 Apache 的SpamAssassin——一个久经考验的垃圾邮件过滤器,通常在 Linux VPS 上预先安装并默认启用。如果您怀疑它可能无法正常工作,您可以随时在WHM 的服务管理器中检查它是否已打开。
个人 cPanel 用户有另一种过滤垃圾邮件的方法。您可以利用一个名为BoxTrapper的工具,在将可疑邮件发送到收件人的收件箱之前请求发件人采取额外的行动。这个想法是阻止自动脚本发送的垃圾邮件。
强密码
据Verizon称,据估计,在所有数据泄露事件中,弱密码占 81% 的最底层,这凸显出人们对登录凭据的重要性缺乏尊重。随着敏感数据向左、右和中心泄露,问题不再仅与弱密码有关。跨平台的相同密码同样危险,因为它们使黑客能够使用单个数据泄露来破坏多个帐户。
多年来,安全专家一直提倡使用信誉良好的密码管理解决方案来创建和存储登录凭据。那里有很多免费和高级选项,它们都保证您能够使用独特的、无法猜测的密钥来保护您的帐户。
作为另一个预防措施,您可以使用 WHM & cPanel 的双因素身份验证系统。有了它,每次您尝试登录 WHM 或 cPanel 时,除了有效的用户名和密码验证之外,您还需要提供一个临时安全码。这个想法是,如果没有您的手机设备,窃取了您的登录凭据的黑客将无法访问您的服务器。
限制根访问
默认情况下,您可以使用任何 IP 来管理您的 Linux VPS。如果您在移动中使用服务器,这很方便,但这并不是最安全的设置。更重要的是,您更有可能从具有静态 IP 的单个网络控制服务器。
WHM 的主机访问控制让您可以选择允许或拒绝单个 IP 访问以下服务:
- 面板
- WHM
- SSH
- FTP 和安全 FTP
- SMTP
- 地图
- POP3
- 网络邮件
- 网盘
使用主机访问控制工具,您可以阻止黑客执行根级命令。您只需要注意不要干扰需要访问 VPS 或网站后端的其他用户的工作。
更改默认 SSH 监听端口
您的服务器通过侦听端口与您的 SSH 服务通信。默认情况下,此端口设置为22。问题是几乎每个黑客和机器人都知道这一点,所以如果有人想瞄准你——这将是他们首先要调查的地方之一。
为了防止通过您的 SSH 端口的自动攻击和破坏,您可以执行以下命令:
vim /etc/ssh/sshd_config
IMPORTANT : 'vim' 前缀用于这个特定的文本编辑器。如果您正在使用另一个 - 将 vim 替换为其名称。
在配置文件中,找到类似于以下内容的行:
#我们监听
22端口的端口、IP和协议
您可以在此处更改 SSH 端口号。确保选择未分配给系统中其他设备的未使用网络端口。
确保暴力攻击保护
蛮力攻击是黑客获取服务器访问权限的最常用工具之一。他们所做的是使用启动数以千计密码组合的工具来尝试猜出正确的密码组合。这对于较少字符的密钥特别有效,但如果有足够的时间 - 最终可能会破坏更长的凭据。那么你能做些什么来应对暴力攻击呢?
对于初学者,您可以返回关于强密码的部分,因为这是减缓攻击者速度的重要防线。限制登录尝试是另一个可以创造奇迹的技巧,因为您的系统会在几次不成功的尝试后自动锁定。至于额外的帮手,安装像Fail2Ban这样的入侵防御服务器软件总是值得考虑的。该工具会扫描您的日志文件以查找任何恶意迹象,例如登录尝试次数过多。然后它会禁止所有可疑 IP,帮助您阻止攻击。
保持一切更新
大多数现代网站都是使用内容管理系统构建的。他们的所有者通过点击式后端界面管理他们,几乎不需要任何技能来导航。
然而,在幕后,有数百万行代码。一些漏洞不可避免地会出现,它们很容易为攻击者打开大门。
开发人员花费大量时间来识别安全漏洞并为其制作补丁。尽管如此,安装安全补丁是您的责任,并且您应该在它们发布后立即这样做。
确保您受到尽可能好的保护的唯一方法是定期更新服务器上的每个软件和相关插件。此外,避免安装将来可用作后门的不必要软件。
重要提示:默认情况下启用 Cpanel 的自动更新,如果您使用 WordPress – 您可以访问WordPress 工具包。它具有 CMS 核心、主题和插件的自动更新功能。
安全的异地备份
在网络世界中,你不能把任何事情视为理所当然,你必须做好最坏的打算。您可能已经知道您需要随时备份数据,但您必须记住,这还不够。如果您将备份保存在同一个 VPS 上,潜在的硬件故障可能会导致 终端数据丢失。您的家用计算机可能看起来是一个替代选择,但它并不那么可行,尤其是在您的网站很大的情况下。
最好的办法是将备份存储在 远程服务器上。您无需安装任何其他工具或服务即可拥有自动异地备份系统。通过 WHM 的备份配置界面,您可以根据您的确切要求配置服务器的计划备份,并计划系统将您的存档站点副本发送到您选择的远程服务器。
SSL 证书
SSL 证书 利用传输层安全(或 TLS)协议来 加密 站点访问者和托管服务器之间的信息流。没有它们,数据将以纯文本形式传输,很容易被拦截或更改。SSL 证书还可以 验证站点的身份 并确认访问者连接到正确的服务器。
过去,获取 SSL 证书需要花费很多钱,而安装它通常是由托管服务提供商的支持团队手动完成的。然而,如今,像Let's Encrypt这样的证书颁发机构提供免费的 SSL 证书。由于 WHM 的AutoSSL工具,跨不同项目部署证书是完全自动化的。Cpanel 还有一个SSL 管理器,可以让您控制各个网站的证书。
服务器监控
如果您发现您的 Linux VPS 出现问题,您需要能够快速确定问题所在。即使一切看起来都很好——您必须能够轻松访问分析,准确地告诉您服务器的运行情况以及您可能需要改进的地方。
WHM 拥有所有这些数据以及更多。它集成了几种不同的工具,为您提供有关 资源使用情况、 正常运行时间 和 一段时间内 平均负载的重要信息。您还可以查看所有正在运行的 服务、 进程及其 状态。借助所有这些信息,您可以深入了解服务器的使用情况、制定增长计划,并且至关重要的是,发现潜在的安全问题。
在公共 Wi-Fi 上小心 Evil Twins
在公共 Wi-Fi 上登录您的托管服务器或帐户时,您必须格外小心。这种网络的众多危险之一被称为“邪恶双胞胎”。Evil Twins 与典型的网络钓鱼诈骗非常相似。但是,黑客并没有建立一个虚假的网站来引诱你,而是配置了一个虚假的 wi-fi 点。用户在使用这种欺诈性无线连接时输入的任何内容也会直接落入攻击者的手中。Evil Twin 网络很难被发现,特别是如果你是一个没有经验的用户。这就是为什么您必须非常小心并避免使用免费网络、公共热点和听起来很有趣的 wi-fi 名称的原因。
结论
安全性是运行虚拟专用服务器的一个主要方面,您需要考虑很多事情,尤其是在自我管理的 VPS 上。为了正确保护您的服务器,您必须了解主要威胁是什么,这样您才能制定涵盖尽可能多场景的策略。这听起来像是一项极其复杂的工作,但事实是,WHM 和 cPanel 有很多选择可以让您的托管生活变得更加轻松。