使用VPS或專屬主機最需要維護的莫過於伺服器的安全性,
針對初學者來說,伺服器需要調教的配置較多,
容易因為漏洞讓駭客有機可乘,
在中國伺服器安全模組有早期的主機衛士、安全狗,
而接下來要介紹的雲鎖Cloudlock則是近期熱門的伺服器防禦廠商,
透過本地圖形化介面擺脫傳統指令的維護方式,
配置更容易上手。
上圖為雲鎖本地端控制程式畫面,
大致可以了解到雲鎖Cloudlock的基本功能包括
漏洞防護、站點後台防護、CC防護、SSH登入保護、敏感辭彙過濾(非常適合中國站點使用)、
防盜鏈、IP黑白名單控制等功能。
透過netstat指令查看主機網路連接情形
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
IP前方連接數若破百則須留意該IP是否正在攻擊主機。
雲鎖官方Linux配置說明 http://help.yunsuo.com.cn/guide/Lin_inst.html
32位元版本
wget http://download.yunsuo.com.cn/yunsuo_agent_32bit.tar.gz tar zxvf yunsuo_agent_32bit.tar.gz chmod +x yunsuo_agent_32bit.bin ./yunsuo_agent_32bit.bin
64位元版本
wget http://download.yunsuo.com.cn/yunsuo_agent_64bit.tar.gz tar zxvf yunsuo_agent_64bit.tar.gz chmod +x yunsuo_agent_64bit.bin ./yunsuo_agent_64bit.bin
如果海外主機無法順利下載壓縮檔,可改備用網址(2016/10/9更新)
32位元
wget https://dl.dropboxusercontent.com/s/d2fybb600caxbe4/yunsuo_agent_32bit.tar.gz tar zxvf yunsuo_agent_32bit.tar.gz chmod +x yunsuo_agent_32bit.bin ./yunsuo_agent_32bit.bin
64位元
wget https://dl.dropboxusercontent.com/s/cxkxnp9owajznxp/yunsuo_agent_64bit.tar.gz tar zxvf yunsuo_agent_64bit.tar.gz chmod +x yunsuo_agent_64bit.bin ./yunsuo_agent_64bit.bin
安裝完畢後可透過指令檢查雲鎖運行狀態
ps -ef | grep yunsuo_agent
如果有移除雲鎖的需求,防禦模組亦可透過簡單指令移除
/usr/local/yunsuo_agent/uninstall
接下來請下載雲鎖PC控制端 http://www.yunsuo.com.cn/ht/software/
官方PC控制端安裝教學 http://www.yunsuo.com.cn/help/center#/qs/qs-02
安裝時可能會出現系統語言不符的問題,
可搭配Locale Emulator程式修改語係為中文(中華人民共和國),時區為+8北京
Locale Emulator 阿榮福利味 http://www.azofreeware.com
下圖為雲鎖Cloudlock的CC防禦畫面,預設策略為低,
可手動調整到中等防禦,辨別所有新IP訪客行為進行防禦,
須留意中等防禦會造成Let』s Encrypt模組無法簽發的問題。
下圖為雲鎖Cloudlock監控系統資源畫面,需手動開啟CPU、記憶體與網路I/O監控才會生效。
下圖為雲鎖Cloudlock監控網站PV等訪客數量,預設為停用需手動開啟。
下圖為雲鎖Cloudlock相關防護功能,
其中自定義CDN工具已預先配置常見CDN的IP列表,
接下來介紹登入保護工具。
下圖為SSH登入保護的控制面板,
可控制SSH登入連接埠、IP網段、開放時間。
由於雲鎖預設安全模式將會啟動SSH的key驗證,
需要在伺服器產生公鑰與私鑰提高SSH驗證的安全性,
在未開啟登入保護下進入SSH終端輸入以下指令
建立帳戶的/.ssh隱藏資料夾並給予許可權
mkdir -p ~/.ssh chmod 700 ~/.ssh
產生金鑰
ssh-keygen
接下來對話均輸入Enter預設即可
金鑰產生後將id_rsa.pub輸出成authorized_keys檔案
cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
下載帳戶/.ssh/id_rsa檔案,
將檔案透過PuTTYgen讀取轉存成.ppk私密金鑰(private key)
PuTTYgen 下載官網 http://www.chiark.greenend.org.uk
經測試雲鎖Cloudlock可以順利搭配VestaCP面板使用,
但建議安裝VestaCP時選擇不安裝Firewall模組的fail2ban,
由雲鎖Cloudlock進行伺服器防禦,
而VestaCP後台建議修改登入連接埠降低被入侵的可能性。
VestaCP面板安裝教學 https://hzsh.xyz/679