加入收藏 | 设为首页 | 会员中心 | 我要投稿 江门站长网 (https://www.0750zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

痛心实验室服务器被挖矿该怎么办?

发布时间:2022-04-29 10:35:24 所属栏目:安全 来源:互联网
导读:实验室的服务器有比较高的配置,安装了多块显卡,平时实验室的同学主要通过PuTTY、Xshell以及MobaXterm等工具远程访问服务器,上传代码跑实验。过去有段时间,服务器的显卡总是被挖矿程序占用,学校信息中心的老师告知实验室存在网络攻击行为,实验室因此被
  实验室的服务器有比较高的配置,安装了多块显卡,平时实验室的同学主要通过PuTTY、Xshell以及MobaXterm等工具远程访问服务器,上传代码跑实验。过去有段时间,服务器的显卡总是被挖矿程序占用,学校信息中心的老师告知实验室存在网络攻击行为,实验室因此被临时断网了数天,大家的科研学习都受到了影响。上述情况重复了好几次,大家逐渐意识到网络安全的重要性,开始探讨增强实验室服务器安全性的方案,致力于让服务器免受网络攻击。本文主要记录通过一系列配置提高服务器安全性的过程。
 
  更改默认端口:22 -> xxxxx
  编辑SSH的配置文件”/etc/ssh/sshd_config“,更改默认端口为xxxx(1024~65535区间内的端口):
 
  复制
  # vi /etc/ssh/sshd_config
 
  Include /etc/ssh/sshd_config.d/*.conf
 
  Port xxxxx
  #AddressFamily any
  #ListenAddress 0.0.0.0
  #ListenAddress ::
  1.
  2.
  3.
  4.
  5.
  6.
  7.
  8.
  更改端口后,通过ssh命令登录服务器需要指定端口参数: ssh -p xxxxx username@hostname
 
  禁止root用户登录:”PermitRootLogin no“
  复制
  # vi /etc/ssh/sshd_config
 
  #LoginGraceTime 2m
  PermitRootLogin no
  #StrictModes yes
  #MaxAuthTries 6
  #MaxSessions 10
  1.
  2.
  3.
  4.
  5.
  6.
  7.
  禁止其他用户登录:”DenyUsers root admin“
  复制
  # vi /etc/ssh/sshd_config
 
  # Example of overriding settings on a per-user basis
  #Match User anoncvs
  #       X11Forwarding no
  #       AllowTcpForwarding no
  #       PermitTTY no
  #       ForceCommand cvs server
  DenyUsers root admin
  1.
  2.
  3.
  4.
  5.
  6.
  7.
  8.
  9.
  设置通过密码进行安全验证
  SSH提供了两种级别的验证方法:基于口令的安全验证和基于密钥的安全验证。其中,基于密钥的安全验证安全性更高,但由于操作起来比较麻烦(每个用户都要创建一对密钥,需要保管私钥文件),实验室没有采用这一方案。
 
  限制IP访问
  通过编辑”/etc/hosts.deny“和”/etc/hosts.allow“两个文件,可以实现限制访问系统的主机的功能(比如限制只能局域网内的主机访问系统)。其中,”/etc/hosts.allow“中的规则优先级更高,当两个文件中定义的规则冲突时,以”/etc/hosts.allow“中的为准。
 
  1.禁止所有主机通过SSH连接服务器
 
  复制
  # vi /etc/hosts.deny
 
  # You may wish to enable this to ensure any programs that don't
  # validate looked up hostnames still leave understandable logs. In past
  # versions of Debian this has been the default.
  # ALL: PARANOID
  sshd:ALL
  1.
  2.
  3.
  4.
  5.
  6.
  7.
  2.允许同一网段的主机连接服务器
 
  复制
  # If you're going to protect the portmapper use the name "rpcbind" for the
  # daemon name. See rpcbind(8) and rpc.mountd(8) for further information.
  #
  sshd:192.168.1.*:allow
  sshd:127.0.0.1:allow
  1.
  2.
  3.
  4.
  5.
  设置Linux-PAM
  PAM(Pluggable Authentication Module)是Linux提供的鉴权模块,通过编辑该模块的配置文件”/etc/pam.d/sshd“,可以实现限制SSH尝试登录次数,防止暴力破解的功能。
 
  1.编辑”/etc/pam.d/sshd“
 
  设置SSH尝试登录失败3次后就锁定相应用户1小时(3600秒),用户被锁定期间,哪怕提供了正确的口令,也不能登录系统。注意配置的内容需要加到文件的起始位置。
 

  开启防火墙
  防火墙是另一项能够有效提高系统安全性的技术。实验室主要通过使用”firewall-cmd“命令来配置端口的开放和关闭,做好端口防护工作。由于网上的相关资料比较多,这里就不展开介绍了。

  可以看到有大量尝试登录服务器的记录,做好服务器的安全防护,刻不容缓。

(编辑:江门站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.0750zz.com/ All Rights Reserved. 江门站长网