给DirectAdmin后台增加IP黑名单自动锁定功能

DirectAdmin

有人就是这么无聊,使用”密码暴力猜解”想获得你网站的后台管理权限,DirectAdmin刚安装好后马上就可以见到人有在暴力猜解了。看了一下猜测的用户名,感觉如果你的密码过短或者不是很复杂,那很快就被猜解成本,那后果很严重。虽然现在安装DirectAdmin遇到这样的情况,但我相信安装其它主机管理系统或者直接LNMP环境,一样会有人在不停扫描你的端口。于是安全很重要,特别是使用VPS的朋友,安全问题不可忽视。还好DirectAdmin针对这样的问题提供了解决方案,再好的解决方案,也需要你的复杂密码做保证。

官方帮助中心给我们的解决方案:给DA后台增加IP锁定功能。它是利用iptables规则进行限制,具体是什么规则我们就不深究了,跟着官方说明一起来安装吧。

首先,下载官方的iptables规则

cd /etc/init.d      #进入目录
mv iptables iptables.backup      #备份原文件
wget http://files1.directadmin.com/services/all/iptables         #下载新iptables文件
chmod 755 iptables        #设置文件权限
然后,重启iptables
/etc/init.d/iptables restart

下载锁定IP脚本程序,设置文件权限.

cd /usr/local/directadmin/scripts/custom
wget http://files1.directadmin.com/services/all/block_ip.sh
wget http://files1.directadmin.com/services/all/show_blocked_ips.sh
wget http://files1.directadmin.com/services/all/unblock_ip.sh
chmod 700 block_ip.sh show_blocked_ips.sh unblock_ip.sh

创建一个清单文本,以便查看被锁定的IP列表

touch /root/blocked_ips.txt
touch /root/exempt_ips.txt

通过以上操作,只要进入DA面板后台–>密码暴力猜解监控,点击监控到的IP最后的IP Info,然后根据提示操作就可以隔离该IP了。

如需自动锁定,还需要输入以下代码:

cd /usr/local/directadmin/scripts/custom
wget http://files1.directadmin.com/services/all/brute_force_notice_ip.sh
chmod 700 brute_force_notice_ip.sh

并且在DA面板后台–>管理员设置,在安全性那里进行如下置。

Security

除此之外,像SSH端口,DirectAdmin后台访问端口务必进行修改。

DirectAdmin后台访问端口修改方法如下,登录SSH到你的VPS或服务器,执行下面2行语句:

sed -i ‘s/port=2222/port=12345/g’ /usr/local/directadmin/conf/directadmin.conf
service directadmin restart

其中12345修改为你想要的数字,设置时注意不要和你的常用端口产生冲突,最好是5位数且不高于65535。除此之外,如果你用VPS的,还需要其它安全方面的设置:基于CentOS系统的VPS安全设置与优化

发表评论

电子邮件地址不会被公开。 必填项已用*标注

给DirectAdmin后台增加IP黑名单自动锁定功能》上有5条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注