build议在root帐户和端口Ubuntu的服务器

我刚刚推出了一个网站,只有2天才上网,只是查了auth.log,而且已经有多个来自亚洲IP的login尝试。

我已经将自己的用户帐户密码更改为更安全的密码,现在我对根帐户感到担忧,并开放​​了端口?

关于根帐户:将根帐户的名称更改为完全随机的,只有我知道的是不是一个好主意? 由于大多数尝试都是在root用户上进行的,拥有用户名已经赢得了一半的战斗? 这是一个好主意还是坏主意?

关于端口:我是否应该closuresFTP和SSH的端口,并且只有当我想自己连接到服务器时才打开端口,这是否正常完成? 还有什么办法可以将SSH连接限制为一个IP,并且一次只允许一个连接?

我不太清楚正确的做法是什么,将不胜感激任何build议,你可以给!

将根帐户的名称更改为完全随机的东西是否是一个好主意? 由于大多数尝试都是在root用户上进行的,拥有用户名已经赢得了一半的战斗? 这是一个好主意还是坏主意?

对于操作系统来说,一个更加安全的解决scheme就是根本不允许root用户访问任何SSH。 您应该以具有su或sudo权限的非特权用户身份login。 所有的SSH访问也应该是私钥,而不是密码。

如果你有兴趣减less来自这些破解尝试的stream量,你可以在一个非标准的端口上运行ssh(这不是一个安全措施,但是它是一个有效的方法,来自您机器的有害stream量)。

此外,您可以使用http://www.fail2ban.org/这样的服务来监视失败的login尝试并禁止IP。

对于应用程序级别的访问(比如CMS等),如果你可以远离默认的URL(比如/ admin或者/ administrator)并且运行非标准的端口,那么这样可以让你在某种程度上不受影响。 那些不增加安全性,但可以再次从这些地区转移大量的stream量。

安全明智的转向清除默认的用户名(pipe理员/根等)和默认密码是一个好主意。 另外,对于CMS /应用程序login,限制IP和使用类似于fail2ban的方法是一个好主意。

关于端口:我是否应该closuresFTP和SSH的端口,并且只有当我想自己连接到服务器时才打开端口,这是否正常完成? 还有什么办法可以将SSH连接限制为一个IP,并且一次只允许一个连接?

  • 限制访问特定的IP是一个好主意
  • 如果您偏执,只有在需要使用端口时才可以打开端口,但是这样做可能不便于实施
  • 您可以通过防火墙限制对SSH运行的端口的访问
  • 你可以通过sshd_config来限制对SSH服务的访问,比如AllowUsers user @ ip

关于根帐户:将根帐户的名称更改为完全随机的,只有我知道的是不是一个好主意? 由于大多数尝试都是在root用户上进行的,拥有用户名已经赢得了一半的战斗? 这是一个好主意还是坏主意?

我认为这是一个坏主意,只是禁止访问root帐户,而是使用sudo / su

我应该closuresFTP和SSH的端口

首先你应该改变默认端口21/22,例如2121/2222

只有当我想自己连接到服务器时才打开它,这是通常完成的事情

是的,这是正常的做法。 你可以尝试使用knock守护进程

# yum info knock Name : knock Arch : x86_64 Version : 0.5 Release : 3.el6.rf Size : 33 k Repo : rpmforge Summary : Port-knocking server URL : http://www.zeroflux.org/knock/ License : GPL Description : knockd is a port-knock server. It listens to all traffic on an ethernet : interface, looking for special "knock" sequences of port-hits. A client : makes these port-hits by sending a TCP (or UDP) packet to a port on the : server. This port need not be open -- since knockd listens at the link- : layer level, it sees all traffic even if it's destined for a closed port. : : When the server detects a specific sequence of port-hits, it runs a : command defined in its configuration file. This can be used to open up : holes in a firewall for quick access. 

我第二Alex_hha的观点:禁止login为根。 这意味着攻击者必须猜测/窃取你的用户名和你的密码,这比猜测root密码更好。 另一部分我将添加使用ssh密钥,因为那么他们需要在您的计算机上窃取一个文件,希望比从一些严重受保护的Web服务中窃取密码更困难。 请参阅Github关于如何设置SSH密钥的文章:

https://help.github.com/articles/working-with-ssh-key-passphrases