与Windows等其他操作系统相比，Linux的默许安全性非常好。但它依然有弱点其实不是无懈可击的。在这篇文章中，下面将介绍多种保护Linux vps和避免黑客攻击的方法。

1、禁用根登录

想要安全的Linux vps，那末不应当以root用户身份登录。默许情况下，每一个Linux vps都有“root”作为用户名，因此黑客会尝试暴力攻击来破解密码并取得访问权限。禁用从“root”用户名登录会增加另外一层安全性，由于它会禁止黑客简单地猜想您的用户凭据。

我们无需以root用户身份登录，而是需要创建另外一个用户名并使用“sudo”命令来履行 root 级别的命令。（Sudo是一种特殊的访问权限，可以授与授权用户，以便他们可以运行管理命令，并且无需root 访问权限。）

在禁用“根”帐户之前，请务必创建我们的非根用户并为其提供适当级别的授权。准备就绪后，继续/etc/ssh/sshd_config在nano或vi中打开并找到“PermitRootLogin”参数。

默许情况下，这会说“是”。

将其更改成“否”并保存更改。

2、更改SSH端口

人们很难在找不到SSH的情况下破解它，更改SSH端口号可以避免歹意脚本直接连接到默许端口(22)。为此，我们需要打开/etc/ssh/sshd_config并更改适当的设置。请务必仔细检查所选端口号会不会正在被任何其他服务使用。

3、保持服务器软件更新

更新服务器的软件其实不困难，我们可以简单地使用rpm/yum包管理器 (CentOS/RHEL)或apt-get (Ubuntu/Debian)将已安装的软件、模块和组件升级到更新版本。

我们乃至可以将操作系统配置为通过电子邮件发送yum包更新通知，这使得跟踪正在产生的变化变得容易。而且，如果我们愿意自动履行该任务，可以设置一个cronjob来代表利用所有可用的安全更新。

如果使用的是面板，例如Plesk或cPanel，那末我们也需要更新它。大多数面板都可以设置为自动更新，cPanel使用EasyApache进行大多数包更新。

4、删除不需要的模块/包

我们不太可能需要与Linux发行版捆绑在一起的所有软件包和服务。删除的每项服务都减少了一个需要担心的弱点，因此请确保我们只运行实际使用的服务。最重要的是，避免安装没必要要的软件、软件包和服务，以最大程度地减少潜伏要挟。它还具有简化服务器性能的受欢迎的副作用！

5、禁用 IPv6

IPv6与IPv4相比有几个优点，但我们不太可能在使用它，也很少有人在使用它。但它被黑客使用，他们常常通过IPv6发送歹意流量，让协议保持开放状态可能会使我们面临潜伏的攻击。要解决此问题，请编辑/etc/sysconfig/network并更新设置，以便它们读取NETWORKING_IPV6=no和IPV6INIT=no。

6、使用GnuPG加密

黑客通常会在数据通过网络传输时将其作为目标。这就是为何使用密码、密钥和证书对传输到服务器的数据进行加密相当重要的缘由。一种流行的工具是GnuPG，这是一种基于密钥的身份验证系统，用于加密通讯。它使用的“公钥”只能通过“私钥”解密，而“私钥”仅供预期接收者使用。

7、具有强大的密码政策

弱密码一直是最大的安全要挟之一，所以不允许用户帐户的密码字段为空，或使用简单的密码，如“123456”、“password”、“qwerty123”或“trustno1”。我们可以通过要求所有密码混合使用大小写来提高安全性，以免使用字典单词并包括数字和符号。启用密码老化以强迫用户定期更改旧密码，并斟酌限制重复使用之前的密码。

还可使用“faillog”命令设置登录失败限制，并在反复尝试失败后锁定用户帐户，以保护我们的系统免受暴力攻击。

8、配置防火墙

简而言之，如果我们想要真正安全的Linux vps，则需要防火墙。荣幸的是，有很多可供选择。NetFilter是与Linux内核集成的防火墙，我们可以配置它来过滤掉不需要的流量。借助NetFilter和iptables，可以对抗散布式谢绝服务(DDos)攻击。TCPWrapper是另外一个有用的利用程序，它是一个基于主机的访问控制列表 (ACL)系统，用于过滤不同程序的网络访问。它提供主机名验证、标准化日志记录和欺骗保护，所有这些都有助于增强我们的安全性。

其他流行的防火墙包括CSF和APF，它们都为cPanel和Plesk等流行的面板提供插件。

9、使用磁盘分区

为了增加安全性，最好对磁盘进行分区，使操作系统文件阔别用户文件、tmp 文件和第三方程序。我们还可以禁用SUID/SGID访问 (nosuid) 并禁用操作系统分区上的二进制文件(noexec)履行。

10、将/boot设置为只读

在Linux vps上，所有特定于内核的文件都存储在“/boot”目录中。

但是该目录的默许访问级别是“读写”，为避免对引导文件进行未经授权的修改，这对我们的服务器的安稳运行相当重要，将访问级别更改成“只读”是个好主张。

为此，只需编辑/etc/fstab文件并将LABEL=/boot /boot ext2 defaults, ro 1 2添加到底部。而且，如果我们将来需要对内核进行更改，可以简单地恢复到“读写”模式。然后我们可以进行更改并在完成后将其设置回“只读”。

以上是保护Linux vps和避免黑客攻击的10个方法。还有更多其他方法，欢迎随时探讨！