一般來說我們用的大多是OpenSSH來管理我們的默認(rèn)SSH端口22�。如果你的密碼夠強(qiáng)大�,夠復(fù)雜��,其實(shí)你無所謂����。再者你對(duì)于VPS的安全無所謂�,搞個(gè)博客也只是玩玩,或許你不是那么在意����。那么后面的內(nèi)容其實(shí)也沒啥好看的。 在我之前的帖子《給VPS搞個(gè)防火墻,順帶把Se
一般來說我們用的大多是OpenSSH來管理我們的默認(rèn)SSH端口22。如果你的密碼夠強(qiáng)大����,夠復(fù)雜��,其實(shí)你無所謂����。再者你對(duì)于VPS的安全無所謂�,搞個(gè)博客也只是玩玩,或許你不是那么在意��。那么后面的內(nèi)容其實(shí)也沒啥好看的��。
在我之前的帖子《給VPS搞個(gè)防火墻��,順帶把SendMail發(fā)信慢解決》曾經(jīng)提到用Fail2Ban來解決這個(gè)SSH安全問題,說實(shí)在的Fail2Ban兢兢業(yè)業(yè)�,一直對(duì)我的VPS做出不錯(cuò)的防護(hù)����,而且我也一直接到Fail2Ban的告知����,又有哪個(gè)混蛋來嘗試破解和掃描我了。
但是一直以來��,其實(shí)對(duì)我進(jìn)行嘗試破解SSH并不多����,一個(gè)月也就兩三次吧。自從我換了VPS(詳見我前面的這篇《換了新的VPS�,順便提在XEN遇到的第一個(gè)問題》帖子)�,一天收到10幾封提醒��,嚴(yán)重的時(shí)候��,居然有40多封�。真是夠坑的。我只好關(guān)閉郵件提示(但是仍然發(fā)送到郵箱 ),不去看他,畢竟看了也沒啥意思����,咱家是和平愛好者����,又不攻擊人家��,也不會(huì)偽善的晾出來曬對(duì)方IP����,沒意思�。
直到昨天去整理郵箱,發(fā)現(xiàn)臥槽�,才不到一星期����,共有113個(gè)IP嘗試破解密碼被Banned��。��。好吧,夠坑的,哥不跟你們玩了,準(zhǔn)備換SSH端口�。
其實(shí)換SSH的端口并不難�,直接vi /etc/ssh/sshd_config接著修改Port段為Port 8080就好了(我只是舉個(gè)例子����,你要是真當(dāng)我SSH端口是8080,那就煞筆了)。
本來這樣也沒問題��,但是我有如tunnel這類的nologin用戶�,平時(shí)給他們做高級(jí)代理用,但并不想讓他們知道我的Real SSH Port,怎么辦呢����?
貌似限制端口僅可被什么類型的用戶登錄��,在OpenSSH沒看到這樣另類的要求��。�。
好吧��,另辟蹊徑�,用OpenSSH管理新的端口的SSH請(qǐng)求�,并修改Fail2Ban監(jiān)控新端口。
對(duì)于22端口��,安裝多一個(gè)SSH軟件來管理,Roy幫我推薦了Dropbear SSH。Dropbear是一個(gè)相對(duì)較小的SSH服務(wù)器和客戶端�。它運(yùn)行在一個(gè)基于POSIX的各種平臺(tái)�。 Dropbear是開源軟件��,在麻省理工學(xué)院式的許可證��。 這是其官網(wǎng)地址:傳送門。
Dropbear是特別有用的“嵌入”式的Linux(或其他Unix)系統(tǒng),如無線路由器����。Dropbear實(shí)現(xiàn)完整的SSH客戶端和服務(wù)器版本2協(xié)議��。它不支持SSH版本1 的向后兼容性,以節(jié)省空間和資源,并避免在SSH版本1的固有的安全漏洞��。還實(shí)施了SCP的����。SFTP支持依賴于一個(gè)二進(jìn)制文件,可以通過提供的OpenSSH或類似的計(jì)劃。它源于一些地方的OpenSSH來處理BSD風(fēng)格的偽終端。
安裝很簡(jiǎn)單��,在其官網(wǎng)下載最新版����,并且解壓后,然后Configure,接著make && make install就好了�。因?yàn)槲抑皇墙onologin用戶使用��,如果你想要有SCP功能,請(qǐng)make && make scp && make install使用dropbearkey��,創(chuàng)建RSA和DSS公匙�。然后只要dropbear -w -s便可禁用root登錄和禁止使用密碼登錄��,具體可以使用dropbear -h查看幫助�,因?yàn)闆]服務(wù)可注冊(cè)�,可以考慮自己寫個(gè)服務(wù),或者將命令放入rc.local��。這樣的話�,那群煞筆機(jī)器人,一直請(qǐng)求22端口的root����,便會(huì)被直接拒絕�。查看日志可以看到:dropbear[14767]: root login rejected
這樣便達(dá)到目的�,F(xiàn)ail2Ban仍然防護(hù)著VPS,而且暴露的22端口�,是不允許root及密碼登錄方式����。這樣就無所謂破解密碼了�,實(shí)話告訴你,RSA我用了4096加密�,所以密匙一定很長(zhǎng)�。�。慢慢破吧。�。反正破了也沒root權(quán)限��。。
再說說另外一個(gè)�,讓W(xué)ordpress使用上Memcache�。畢竟WordPress對(duì)memcached及類似的對(duì)象緩存系統(tǒng)的支持是很強(qiáng)大的����,只需要實(shí)現(xiàn)相關(guān)緩存操作方法,定義相關(guān)的緩存初始化及增刪改查�、關(guān)閉等操作��,WordPress即可自動(dòng)將相關(guān)緩存系統(tǒng)引入進(jìn)來,詳細(xì)信息可以參考WP_Cache的Wiki�。
可以在wordpress官網(wǎng):傳送門����,下載最新Memcache的Drop-in高級(jí)插件�。解壓縮后將其放入WordPress根目錄的wp-content里面����。并修改wp-config.php文件,加上一句:$memcached_servers = array('default' => array('127.0.0.1:11211'));如果你有多個(gè)MC的話�,可以用類似如下的代碼$memcached_servers = array('default' => array('10.10.10.20:11211','10.10.10.30:11211'));如果你默認(rèn)就是127.0.0.1:11211是MC的話��,其實(shí)也可以不用在wp-config.php定義的,因?yàn)閛bject-cache.php會(huì)自動(dòng)幫你定義的��。
WP需要的MC大小其實(shí)不大����,4MB完全夠WP用,WP存儲(chǔ)大多查詢是輕量級(jí),不過如果你的主題�,或者你浪費(fèi)查詢的地方多的話��,MC可以大點(diǎn)�,比如我����,直接定義128MB給MC,無所謂了�。
因?yàn)閂PS優(yōu)化的很好����,所以已經(jīng)丟掉了W3TC的支持��。So��,需要定義一些Cache化請(qǐng)求。還有一個(gè)另外的好處����,減少Wordpress在MySQL生成大量的Transients臨時(shí)數(shù)據(jù)��。
最后,要說的是��,百度權(quán)重又回來了~國慶大禮么��?
轉(zhuǎn)載請(qǐng)注明轉(zhuǎn)自:kn007的個(gè)人博客的《略談對(duì)付SSH端口掃描,還有WP的MC支持》
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識(shí)�,若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系�,我們將在第一時(shí)間刪除處理�。TEL:177 7030 7066 E-MAIL:11247931@qq.com
