保护和监控虚拟专用服务器

第 1 步：随着补丁的发布，更新您的软件。如果您使用的项目没有定期发布补丁，那么是时候寻找替代方案了。

第 2 步：异地日志记录。攻击者可能会使用 PHP 入侵机器，但如果您通过网络将日志导出到更强大的服务器，则很难掩盖踪迹。

第 3 步：保护 SSH 登录。在非标准端口上运行 SSH。需要强密码，甚至将登录限制为 SSH 密钥。安装 fail2ban 或其他一些蛮力检测工具，以防止不堪重负。如果您的发行版足够愚蠢以允许它，请禁用 root 访问。

第 4 步：更新您的软件。它值得重复。PHP 是出了名的糟糕，共享主机可以使它成为一个需要更新的巨大皮塔，从而根深蒂固的不良行为。您可能会在 PEAR 和更新中找到像 Debian 软件包这样的项目。订阅邮件列表并每天或每周安排时间进行地址修补。

第 5 步：备份。当您确实被黑客入侵时，从已知良好的系统中恢复是最安全的。增量备份可以帮助您解决此问题。

有大量的入侵检测包，比如 snort、aide 和 acidbase。还有像 nessus/openvas 这样的渗透测试工具。

我还喜欢在 VPS 上使用一个简单的正常运行时间工具来记录中断，以防需要退款。

这是我通常做的：

• 安装一个好的防火墙。出口过滤与入口一样重要。如果有人设法让 IRC 保镖在您的 VPS 上运行，如果它不能与外界对话，那就太好了。APF非常适合这一点，并且易于配置。
• 快速安装 mod_security。你可以从Gotroot的人那里得到一些非常全面的规则，这些规则更新得相当频繁。免责声明，其中一个是我的朋友。
• 使用 suexec 配置 PHP，确保您的 PHP 脚本以拥有它们的用户身份运行。此外，仅使用您需要的内容配置 PHP。
• 不要仅仅为了运行您找到的某些脚本而削弱您的 PHP 配置。换句话说，不要打开 register_globals 只是让一些过时的购物车工作。
• 远程系统日志服务器总是好的。也许获得两台 VPS 服务器，使用一台来存储备份和处理日志记录。
• 每天运行rootkit 检查。在设置服务器后立即运行第一个，然后再将其投入生产。它们通过存储系统可执行文件的哈希值并检测事情何时发生变化以及寻找常见漏洞的签名来工作。
• 如果在主机控制您的内核的 VPS 上，请坚持让他们保持最新状态。例如，linux vmsplice 的一个弱点允许普通用户轻松成为 root。确保您的提供商在您无法控制的事情上尽职尽责。
• 在各种托管相关论坛上结交一些朋友，搜索他们以及 SF 以获取答案和提示。这类问题在这些论坛上很常见。

这些是其他人建议的项目的补充。存在许多更高级的工具，例如 snort - 我建议您查看它们。但是，此清单应该有助于您使用 VPS。

jldugger 提供了许多很棒的想法——我想补充一点，您可能想要研究 apache 的 mod_security 以及 suexec。Mod_security 带有一堆预制过滤器，用于检查对服务器的 http 调用，如果发现有问题则拒绝它们。Suexec 允许您以拥有它们的用户身份运行 php/perl/etc 脚本，而不是在 www-data 用户下运行它们。