使用VPS或專屬主機最需要維護的莫過於伺服器的安全性,
針對初學者來說,伺服器需要調教的配置較多,
容易因為漏洞讓駭客有機可乘,
在中國伺服器安全模組有早期的主機衛士安全狗
而接下來要介紹的雲鎖Cloudlock則是近期熱門的伺服器防禦廠商,
透過本地圖形化介面擺脫傳統指令的維護方式,
配置更容易上手。

雲鎖官網 http://www.yunsuo.com.cn

cloudlock

上圖為雲鎖本地端控制程式畫面,
大致可以了解到雲鎖Cloudlock的基本功能包括
漏洞防護、站點後台防護、CC防護、SSH登入保護、敏感辭彙過濾(非常適合中國站點使用)、
防盜鏈、IP黑白名單控制等功能。

透過netstat指令查看主機網路連接情形

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

IP前方連接數若破百則須留意該IP是否正在攻擊主機。

雲鎖官方Linux配置說明 http://help.yunsuo.com.cn/guide/Lin_inst.html

32位元版本

wget http://download.yunsuo.com.cn/yunsuo_agent_32bit.tar.gz
tar zxvf yunsuo_agent_32bit.tar.gz
chmod +x yunsuo_agent_32bit.bin
./yunsuo_agent_32bit.bin

64位元版本

wget http://download.yunsuo.com.cn/yunsuo_agent_64bit.tar.gz
tar zxvf yunsuo_agent_64bit.tar.gz
chmod +x yunsuo_agent_64bit.bin
./yunsuo_agent_64bit.bin

如果海外主機無法順利下載壓縮檔,可改備用網址(2016/10/9更新)

32位元

wget https://dl.dropboxusercontent.com/s/d2fybb600caxbe4/yunsuo_agent_32bit.tar.gz
tar zxvf yunsuo_agent_32bit.tar.gz
chmod +x yunsuo_agent_32bit.bin
./yunsuo_agent_32bit.bin

64位元

wget https://dl.dropboxusercontent.com/s/cxkxnp9owajznxp/yunsuo_agent_64bit.tar.gz
tar zxvf yunsuo_agent_64bit.tar.gz
chmod +x yunsuo_agent_64bit.bin
./yunsuo_agent_64bit.bin

安裝完畢後可透過指令檢查雲鎖運行狀態

ps -ef | grep yunsuo_agent

如果有移除雲鎖的需求,防禦模組亦可透過簡單指令移除

/usr/local/yunsuo_agent/uninstall

接下來請下載雲鎖PC控制端 http://www.yunsuo.com.cn/ht/software/

官方PC控制端安裝教學 http://www.yunsuo.com.cn/help/center#/qs/qs-02

安裝時可能會出現系統語言不符的問題,
可搭配Locale Emulator程式修改語係為中文(中華人民共和國),時區為+8北京

Locale Emulator 阿榮福利味 http://www.azofreeware.com

下圖為雲鎖Cloudlock的CC防禦畫面,預設策略為低,
可手動調整到中等防禦,辨別所有新IP訪客行為進行防禦,
須留意中等防禦會造成Let』s Encrypt模組無法簽發的問題。

cloudlock1

下圖為雲鎖Cloudlock監控系統資源畫面,需手動開啟CPU、記憶體與網路I/O監控才會生效。

cloudlock2

下圖為雲鎖Cloudlock監控網站PV等訪客數量,預設為停用需手動開啟。

cloudlock3

下圖為雲鎖Cloudlock相關防護功能,
其中自定義CDN工具已預先配置常見CDN的IP列表,
接下來介紹登入保護工具。

cloudlock5

下圖為SSH登入保護的控制面板,
可控制SSH登入連接埠、IP網段、開放時間。

cloudlock6

由於雲鎖預設安全模式將會啟動SSH的key驗證,
需要在伺服器產生公鑰與私鑰提高SSH驗證的安全性,
在未開啟登入保護下進入SSH終端輸入以下指令

建立帳戶的/.ssh隱藏資料夾並給予許可權

mkdir -p ~/.ssh
chmod 700 ~/.ssh

產生金鑰

ssh-keygen

接下來對話均輸入Enter預設即可

金鑰產生後將id_rsa.pub輸出成authorized_keys檔案

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys

下載帳戶/.ssh/id_rsa檔案,
將檔案透過PuTTYgen讀取轉存成.ppk私密金鑰(private key)

PuTTYgen 下載官網 http://www.chiark.greenend.org.uk

經測試雲鎖Cloudlock可以順利搭配VestaCP面板使用,
但建議安裝VestaCP時選擇不安裝Firewall模組的fail2ban,
雲鎖Cloudlock進行伺服器防禦,
而VestaCP後台建議修改登入連接埠降低被入侵的可能性。

VestaCP面板安裝教學 https://hzsh.xyz/679

 

雲鎖-免費伺服器防入侵與CC攻擊模組
Tagged on: