现在的网络环境恶劣,各种扫描器在无时不刻的运行着。本小编刚上线的网站没五分钟不到,就能看到后台日志(/etc/log/auth.log)里来自多个IP的ssh扫描器尝试登录。所以在决定搭建网站前,几个安全工具是必须要了解的。
1. 安全组,这相当于Windiws里自带的防火墙。各大云服务提供商都有。如果在用静态ip登录的话,最好限制ssh的来源地址。
2. Fail2ban , 这是一个可以根据日志查看恶意扫描ip ,在较短时间内大量访问的ip,就加在iptables里限制其访问。我们可以用它来限制ssh和http的扫描器。在/etc/fail2ban/filter.d里定制自己的规则即可。以nginx为例,当发现access.log里有大量404错误时,路径名与你的建站框架完全不同时,就是扫描器在尝试各种漏洞了
我们可以一个简单的规则ban掉ip
3. certbot, 这是近年很出名的Let's encrypt出的一个工具,用它可以很容易给你的网站加上https支持。 https可以防止你的用户信息被监听,也可以阻止被各大运营商劫持流量。小编的宽带就很恶劣的在所有网站上加上自己的广告条,手机都挡不住。。观察后发现https网站就没事,因为网页源码被加密了,所以它没法插入自己的广告条, 呵呵。
安装很简单
sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository universe
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot python-certbot-nginx
运行下
sudocertbot --nginx
会问你一些问题,如email等
运行成功后就会在你的nginx里加上ssl的配置。而且它会每三个自动renw, 只要定期查看邮件看是否更新
