前言
Fail2ban是一个使用python编写的日志分析工具。可以根据自定的规则来自动封禁满足条件的IP地址。Fail2ban可以用于各种情况下,本文将专注于使用Fail2ban来自动封禁SSH暴力破解的IP地址。 Read more “Linux下使用Fail2ban来阻止SSH爆破”
It's dangerous to go alone! Take this.
Fail2ban是一个使用python编写的日志分析工具。可以根据自定的规则来自动封禁满足条件的IP地址。Fail2ban可以用于各种情况下,本文将专注于使用Fail2ban来自动封禁SSH暴力破解的IP地址。 Read more “Linux下使用Fail2ban来阻止SSH爆破”
1、修改更新源
sudo vi /etc/apt/sources.list (打开Ubuntu 12.04源列表文件)
2、清空sources.list, 将下面的代码粘贴进去
#台湾源 deb http://tw.archive.ubuntu.com/ubuntu/ precise main universe restricted multiverse deb-src http://tw.archive.ubuntu.com/ubuntu/ precise main universe restricted multiverse deb http://tw.archive.ubuntu.com/ubuntu/ precise-security universe main multiverse restricted deb-src http://tw.archive.ubuntu.com/ubuntu/ precise-security universe main multiverse restricted deb http://tw.archive.ubuntu.com/ubuntu/ precise-updates universe main multiverse restricted deb-src http://tw.archive.ubuntu.com/ubuntu/ precise-updates universe main multiverse restricted #网易 Ubuntu 11.10 源(速度很快) deb http://mirrors.163.com/ubuntu/ precise main universe restricted multiverse deb-src http://mirrors.163.com/ubuntu/ precise main universe restricted multiverse deb http://mirrors.163.com/ubuntu/ precise-security universe main multiverse restricted deb-src http://mirrors.163.com/ubuntu/ precise-security universe main multiverse restricted deb http://mirrors.163.com/ubuntu/ precise-updates universe main multiverse restricted deb http://mirrors.163.com/ubuntu/ precise-proposed universe main multiverse restricted deb-src http://mirrors.163.com/ubuntu/ precise-proposed universe main multiverse restricted deb http://mirrors.163.com/ubuntu/ precise-backports universe main multiverse restricted deb-src http://mirrors.163.com/ubuntu/ precise-backports universe main multiverse restricted deb-src http://mirrors.163.com/ubuntu/ precise-updates universe main multiverse restricted #骨头源,骨头源是bones7456架设的一个Ubuntu源 ,提供ubuntu,deepin deb http://ubuntu.srt.cn/ubuntu/ precise main universe restricted multiverse deb-src http://ubuntu.srt.cn/ubuntu/ precise main universe restricted multiverse deb http://ubuntu.srt.cn/ubuntu/ precise-security universe main multiverse restricted deb-src http://ubuntu.srt.cn/ubuntu/ precise-security universe main multiverse restricted deb http://ubuntu.srt.cn/ubuntu/ precise-updates universe main multiverse restricted deb http://ubuntu.srt.cn/ubuntu/ precise-proposed universe main multiverse restricted deb-src http://ubuntu.srt.cn/ubuntu/ precise-proposed universe main multiverse restricted deb http://ubuntu.srt.cn/ubuntu/ precise-backports universe main multiverse restricted deb-src http://ubuntu.srt.cn/ubuntu/ precise-backports universe main multiverse restricted deb-src http://ubuntu.srt.cn/ubuntu/ precise-updates universe main multiverse restricted #mirror.lupaworld.com的源,速度很快 deb http://mirror.lupaworld.com/ubuntu/archive/ precise main restricted universe multiverse deb http://mirror.lupaworld.com/ubuntu/archive/ precise-security main restricted universe multiverse deb http://mirror.lupaworld.com/ubuntu/archive/ precise-updates main restricted universe multiverse deb http://mirror.lupaworld.com/ubuntu/archive/ precise-backports main restricted universe multiverse deb http://mirror.lupaworld.com/ubuntu/ubuntu-cn/ precise main restricted universe multiverse #ubuntu.cn99.com源(推荐): deb http://ubuntu.cn99.com/ubuntu/ precise main restricted universe multiverse deb http://ubuntu.cn99.com/ubuntu/ precise-updates main restricted universe multiverse deb http://ubuntu.cn99.com/ubuntu/ precise-security main restricted universe multiverse deb http://ubuntu.cn99.com/ubuntu/ precise-backports main restricted universe multiverse deb http://ubuntu.cn99.com/ubuntu-cn/ precise main restricted universe multiverse #电子科技大学 deb http://ubuntu.uestc.edu.cn/ubuntu/ precise main restricted universe multiverse deb http://ubuntu.uestc.edu.cn/ubuntu/ precise-backports main restricted universe multiverse deb http://ubuntu.uestc.edu.cn/ubuntu/ precise-proposed main restricted universe multiverse deb http://ubuntu.uestc.edu.cn/ubuntu/ precise-security main restricted universe multiverse deb http://ubuntu.uestc.edu.cn/ubuntu/ precise-updates main restricted universe multiverse deb-src http://ubuntu.uestc.edu.cn/ubuntu/ precise main restricted universe multiverse deb-src http://ubuntu.uestc.edu.cn/ubuntu/ precise-backports main restricted universe multiverse deb-src http://ubuntu.uestc.edu.cn/ubuntu/ precise-proposed main restricted universe multiverse deb-src http://ubuntu.uestc.edu.cn/ubuntu/ precise-security main restricted universe multiverse deb-src http://ubuntu.uestc.edu.cn/ubuntu/ precise-updates main restricted universe multiverse #中国科技大学 deb http://debian.ustc.edu.cn/ubuntu/ precise main restricted universe multiverse deb http://debian.ustc.edu.cn/ubuntu/ precise-backports restricted universe multiverse deb http://debian.ustc.edu.cn/ubuntu/ precise-proposed main restricted universe multiverse deb http://debian.ustc.edu.cn/ubuntu/ precise-security main restricted universe multiverse deb http://debian.ustc.edu.cn/ubuntu/ precise-updates main restricted universe multiverse deb-src http://debian.ustc.edu.cn/ubuntu/ precise main restricted universe multiverse deb-src http://debian.ustc.edu.cn/ubuntu/ precise-backports main restricted universe multiverse deb-src http://debian.ustc.edu.cn/ubuntu/ precise-proposed main restricted universe multiverse deb-src http://debian.ustc.edu.cn/ubuntu/ precise-security main restricted universe multiverse deb-src http://debian.ustc.edu.cn/ubuntu/ precise-updates main restricted universe multiverse #北京理工大学 deb http://mirror.bjtu.edu.cn/ubuntu/ precise main multiverse restricted universe deb http://mirror.bjtu.edu.cn/ubuntu/ precise-backports main multiverse restricted universe deb http://mirror.bjtu.edu.cn/ubuntu/ precise-proposed main multiverse restricted universe deb http://mirror.bjtu.edu.cn/ubuntu/ precise-security main multiverse restricted universe deb http://mirror.bjtu.edu.cn/ubuntu/ precise-updates main multiverse restricted universe deb-src http://mirror.bjtu.edu.cn/ubuntu/ precise main multiverse restricted universe deb-src http://mirror.bjtu.edu.cn/ubuntu/ precise-backports main multiverse restricted universe deb-src http://mirror.bjtu.edu.cn/ubuntu/ precise-proposed main multiverse restricted universe deb-src http://mirror.bjtu.edu.cn/ubuntu/ precise-security main multiverse restricted universe deb-src http://mirror.bjtu.edu.cn/ubuntu/ precise-updates main multiverse restricted universe #兰州大学 deb ftp://mirror.lzu.edu.cn/ubuntu/ precise main multiverse restricted universe deb ftp://mirror.lzu.edu.cn/ubuntu/ precise-backports main multiverse restricted universe deb ftp://mirror.lzu.edu.cn/ubuntu/ precise-proposed main multiverse restricted universe deb ftp://mirror.lzu.edu.cn/ubuntu/ precise-security main multiverse restricted universe deb ftp://mirror.lzu.edu.cn/ubuntu/ precise-updates main multiverse restricted universe deb ftp://mirror.lzu.edu.cn/ubuntu-cn/ precise main multiverse restricted universe #上海交通大学 deb http://ftp.sjtu.edu.cn/ubuntu/ precise main multiverse restricted universe deb http://ftp.sjtu.edu.cn/ubuntu/ precise-backports main multiverse restricted universe deb http://ftp.sjtu.edu.cn/ubuntu/ precise-proposed main multiverse restricted universe deb http://ftp.sjtu.edu.cn/ubuntu/ precise-security main multiverse restricted universe deb http://ftp.sjtu.edu.cn/ubuntu/ precise-updates main multiverse restricted universe deb http://ftp.sjtu.edu.cn/ubuntu-cn/ precise main multiverse restricted universe deb-src http://ftp.sjtu.edu.cn/ubuntu/ precise main multiverse restricted universe deb-src http://ftp.sjtu.edu.cn/ubuntu/ precise-backports main multiverse restricted universe deb-src http://ftp.sjtu.edu.cn/ubuntu/ precise-proposed main multiverse restricted universe deb-src http://ftp.sjtu.edu.cn/ubuntu/ precise-security main multiverse restricted universe deb-src http://ftp.sjtu.edu.cn/ubuntu/ precise-updates main multiverse restricted universe
3、通知ubuntu启用新的更新源
sudo apt-get update
初识Litespeed 乃梦游科技 domin 在论坛推荐给大家使用,然后出于好奇便在自己的vps上面安装调试,由于litespeed用的人很少,就算有在用litespeed的基本都是国外主机提供已经配置好的虚拟主机,完全不需要自己动手,所以搜索了一下几乎没有任何安装litespeed方面的教程,希望这个简单步骤的教程让更多人了解并尝试 Litespeed.
一、安装环境介绍我的vps是 Directspace 搞促销时候的2美金vps,好像很多朋友都买了这一款,所以用这个来做演示安装应该还算OK的,系统是 Centos 5 32bit,其他的没有什么大要求了,如果你的vps有打开防火墙的自己配置好,或者关闭掉吧
二、程序版本介绍 Litespeed 是官方提供的免费版本:lsws-4.0.16-std-i386-linux.tar.gz Mysql 是 5.1.35版本 Php 我们升级使用的是 5.2.14版本
三、开始安装
1)卸载httpd和更新一下centos,并且安装上几个必要的程序库和支持包,以下安装的都是编译php和mysql所要求的,其他没有需要的都不安装了,以后大家也可以看着自己的需要来编译安装:
yum -y remove httpd
yum -y update
yum -y install patch make gcc gcc-c++
yum -y install libxml2
yum -y install libxml2-devel
yum -y install libpng
yum -y install libpng-devel
yum -y install ncurses
yum -y install ncurses-devel
wget "http://downloads.sourceforge.net/mhash/mhash-0.9.9.9.tar.gz?modtime=1175740843&big_mirror=0"
tar zxvf mhash-0.9.9.9.tar.gz
cd mhash-0.9.9.9/
./configure
make
make install
cd ../
ln -s /usr/local/lib/libmhash.so.2 /usr/lib/libmhash.so.2
wget "http://downloads.sourceforge.net/mcrypt/libmcrypt-2.5.8.tar.gz?modtime=1171868460&big_mirror=0"
tar zxvf libmcrypt-2.5.8.tar.gz
cd libmcrypt-2.5.8/
./configure
make
make install
/sbin/ldconfig
cd libltdl/
./configure –enable-ltdl-install
make
make install
cd ../../
cp /usr/local/lib/libmcrypt.* /usr/lib
wget "http://downloads.sourceforge.net/mcrypt/mcrypt-2.6.8.tar.gz?modtime=1194463373&big_mirror=0"
tar zxvf mcrypt-2.6.8.tar.gz
cd mcrypt-2.6.8/
./configure
make
make install
cd ../
2)安装mysql 5.1.35,安装过程是完全复制vpser.net 同学里面的内容的,我相信他不会介意
cd /root
wget -c http://soft.vpser.net/datebase/mysql/mysql-5.1.35.tar.gz
tar -zxvf mysql-5.1.35.tar.gz
cd mysql-5.1.35
./configure –prefix=/usr/local/mysql –enable-assembler –with-charset=utf8 –enable-thread-safe-client –with-extra-charsets=all –with-big-tables –with-readline –with-ssl –with-embedded-server –enable-local-infile
make && make install
cd ../
groupadd mysql
useradd -g mysql mysql
cp /usr/local/mysql/share/mysql/my-medium.cnf /etc/my.cnf
/usr/local/mysql/bin/mysql_install_db –user=mysql
chown -R mysql /usr/local/mysql/var
chgrp -R mysql /usr/local/mysql/.
cp /usr/local/mysql/share/mysql/mysql.server /etc/init.d/mysql
chmod 755 /etc/init.d/mysql
chkconfig –level 345 mysql on
echo "/usr/local/mysql/lib/mysql" >> /etc/ld.so.conf
echo "/usr/local/lib" >>/etc/ld.so.conf
ldconfig
ln -s /usr/local/mysql/lib/mysql /usr/lib/mysql
ln -s /usr/local/mysql/include/mysql /usr/include/mysql
/etc/init.d/mysql start
/usr/local/mysql/bin/mysqladmin -u root password root
/etc/init.d/mysql restart
3)安装Litespeed
下面这个步骤不是每个vps都一定需要的,我曾经在某个vps里安装litespeed后来编译php的时候,提示 autoconf版本不对,需要下面这个版本,所以为了确保万无一失,还是顺手也安装上吧
wget http://ftp.gnu.org/gnu/autoconf/autoconf-2.13.tar.gz
tar zxvf autoconf-2.13.tar.gz
cd autoconf-2.13/
./configure
make
make install
cd ..
下面就是正式开始安装Litespeed了,程序执行后 会跳到一个协议页面,你可以一直回车看完它,也可以按一下ctrl+c取消,取消后会提示进一步的安装:
wget http://www.litespeedtech.com/packages/4.0/lsws-4.0.16-std-i386-linux.tar.gz
tar zxvf lsws-4.0.16-std-i386-linux.tar.gz
cd lsws-4.0.16
sh install.sh
cd ..
注意: 安装过程跟安装Zeus是一样的,大家可以参考我下面的选择,如果不输入只回车,就表示应用默认配置
Litespeed 已经安装完毕!
Litespeed 后台的访问路径,以7080端口为例
http://8.8.8.8:7080
Litespeed 默认的web目录
/usr/local/lsws/DEFAULT/html
在上面的目录上传个探针,就能正常访问了
5) 升级PHP版本到 5.2.14,图片稍后补充
大家安装好后不要关闭,ssh,因为等一下编译升级php版本的时候还需要的
1.进入后台,选择Actions下拉菜单里面的Compile PHP
默认有几个选择 php5.3.3 php5.2.14 php5.2.13 php4,我们这次的目标是5.2.14,选择好后点Next
2. Suhosin和Mail Header 都不要,需要eAccelerator 的可以选上,然后点 Build PHP 5.2.14
–with-litespeed –with-mysql=/usr/local/mysql –with-mysqli=/usr/local/mysql/bin/mysql_config –with-zlib –with-gd –enable-shmop –enable-track-vars –enable-sockets –enable-sysvsem –enable-sysvshm –enable-magic-quotes –enable-mbstring –with-iconv
3.这里页面停留一下,千万不要点浏览器的【刷新】或者 【返回】,待下面Next可点的时候,就可以继续了
4.来到这里就是最后编译了,复制黑底白字的 /usr/local/lsws/phpbuild/buildphp_manual_run.sh 到你的SSH里面并回车,你会看到这个页面就会显示编译php的过程
5.如果一切顺利,当你看到监视php编译检查的步骤提示 **COMPLETE** 的时候,那就已经OK了
6.此时,选择Actions里面的Graceful Restart并且确认,PHP等服务就会重新加载
7.再次打开你的探针看看 恭喜你进入了Litespeed的阵营
PS:暂时存在的几个小问题,php未开启eA支持,我大概知道是什么原因,今天事情比较多,还没折腾好,不过Litespeed貌似不开eA 速度还是飞快的
虽然ssh将联机的封包通过加密的技术来进行资料的传递,能够有效地抵御黑客使用网络侦听来获取口令和秘密信息,但是仍然不乏大量入侵者进行密码尝试或其他手段来攻击ssh服务器以图获得服务器控制权。Ubuntu下面一些配置将进一步加强其安全性:
1.修改sshd服务器的配置文件/etc/ssh/sshd_config,将部分参数参照如下修改,增强安全性。
Port 4321
系统缺省使用22号端口,将监听端口更改为其他数值(最好是1024以上的高端口,以免和其他常规服务端口冲突),这样可以增加入侵者探测系统是否运行了sshd守护进程的难度。
ListenAddress 192.168.0.1
对于在服务器上安装了多个网卡或配置多个IP地址的情况,设定sshd只在其中一个指定的接口地址监听,这样可以减少sshd的入口,降低入侵的可能性。
PermitRootLogin no
如果允许用户使用root用户登录,那么黑客们可以针对root用户尝试暴力破解密码,给系统安全带来风险。
PermitEmptyPasswords no
允许使用空密码系统就像不设防的堡垒,任何安全措施都是一句空话。
AllowUsers sshuser1 sshuser2
只允许指定的某些用户通过ssh访问服务器,将ssh使用权限限定在最小的范围内。
AllowGroups sshgroup
同上面的AllowUsers类似,限定指定的用户组通过ssh访问服务器,二者对于限定访问服务器有相同的效果。
Protocol 2
禁止使用版本1协议,因为其存在设计缺陷,很容易使密码被黑掉。
禁止所有不需要的(或不安全的)授权认证方式。
X11Forwarding no
关闭X11Forwarding,防止会话被劫持。
MaxStartups 5
sshd服务运行时每一个连接都要使用一大块可观的内存,这也是ssh存在拒绝服务攻击的原因。一台服务器除非存在许多管理员同时管理服务器,否则上面这个连接数设置是够用了。
注意:以上参数设置仅仅是一个示例,用户具体使用时应根据各自的环境做相应的更改。
2.修改sshd服务器的配置文件/etc/ssh/sshd_config的读写权限,对所有非root用户设置只读权限,防止非授权用户修改sshd服务的安全设置。
chmod 644 /etc/ssh/sshd_config
3.设置TCP Wrappers。服务器默认接受所有的请求连接,这是非常危险的。使用TCP Wrappers可以阻止或允许应用服务仅对某些主机开放,给系统在增加一道安全屏障。这部分设置共涉计到两个文件:hosts.allow和hosts.deny。
将那些明确允许的请求添加到/etc/hosts.allow中。如系统仅允许IP地址为192.168.0.15和10.0.0.11的主机使用sshd服务,则添加如下内容:
sshd:192.168.0.15 10.0.0.11
将需要禁止使用的信息添加到/etc/hosts.deny中。如对除了在hosts.allow列表中明确允许使用sshd的用户外,所有其他用户都禁止使用sshd服务,则添加如下内容到hosts.deny文件中:
sshd:All
注意:系统对上述两个文件的判断顺序是先检查hosts.allow文件再查看hosts.deny文件,因此一个用户在hosts.allow允许使用网络资源,而同时在hosts.deny中禁止使用该网络资源,在这种情况下系统优先选择使用hosts.allow配置,允许用户使用该网络资源。
4.尽量关闭一些系统不需要的启动服务。系统默认情况下启动了许多与网络相关的服务,因此相对应的开放了许多端口进行LISTENING(监听)。我们知道,开放的端口越多,系统从外部被入侵的可能也就越大,所以我们要尽量关闭一些不需要的启动服务,从而尽可能的关闭端口,提供系统的安全性。