對於VPS主機建站新手來說,其實我一直推薦使用VPS主機控制面板。現在市面上免費的VPS主機控制面板很多,很多剛從虛擬主機過渡到VPS的朋友於指令還不是很熟悉,VPS主機控制面板上手容易,可以大大提高工作效率。

但是使用免費的VPS控制面板有一個致命的可能性就是存在安全問題,這幾天爆出的「VestaCP安全漏洞導致Digital Ocean上百台伺服器成為肉機」已經在VestaCP官網論壇lowendtalk論壇上炸開了鍋,眾多的用戶開始吐槽VestaCP安全問題。

根據好友baoang的留言提醒:流行Linux控制面板VestaCP被發現有0日漏洞,大體說是可能有人在面板程式發布前就在它們的REPO中插入手腳,所以不管用戶怎麼安裝,都有問題。裡面的程式碼裝完都是用root權限運行的,會在特定時間把VPS當肉雞向外攻擊。

考慮到有不少的用戶是看到挖站否的介紹去嘗試了VestaCP面板,在此強烈建議大家趕緊備份好數據(如果有之前的備份就更好,以免當前網站文件或者數據庫受到感染),重裝VPS系統,重裝安裝最新版本的VestaCP,同時密切注意VestaCP最新動態。

正好藉此機會也來為大家分享如何在使用免費VPS主機控制面板的前提下,確保自己的伺服器安全可靠。關於更多的建站工具這裡有:

  1. 三個命令工具Rsync,SCP,Tar-快速解決VPS遠端網站搬家與資料同步
  2. Lsyncd搭建同步鏡像-用Lsyncd實現本地和遠端伺服器之間即時同步
  3. Linux VPS掛載Google Drive與Dropbox-實作VPS主機資料同步備份

一、關注官方論壇,更新修補程式漏洞

之前Qi做了一個VPS主機控制面板匯總專題:伺服器控制面板榜單,大家可以多多關註一下自己使用的VPS面板,一般來說官方論壇會最先發布面板的補丁以及更新程序,及時更新面板補丁和漏洞是減少損失的最快的方法。

二、強化自身安全,定期查看日誌

關於伺服器本身的安全性往往是不少人所忽略的,實際上VPS控制面板即使做得再好如果VPS自身的安全不夠好,那也是徒勞。強化伺服器本身的安全最好是選購大牌可靠的VPS商,有關評測參考:VPS主機排行榜單。

VPS控制面板如果出現問題,是可以在網站日誌中看到蛛絲馬蹟的。這裡推薦兩個日誌分析工具和效能監控工具,一旦伺服器被駭基本上可以從日誌+效能監控圖表中看到異常訊息,幫助我們迅速定位問題。

  1. 伺服器日誌分析利器:ngxtop和GoAccess-即時監控視覺化管理快速找出異常來源
  2. 免費開源PHP探針x-prober和酷炫的Linux伺服器效能即時監控工具Netdata

三、做好資料備份,部署異地災難

要養成網站資料定期備份的好習慣,有條件的朋友還可以部署異地容災備份方案,總之資料是無價的,一旦伺服器被駭也可以在最短的時間內將之前正常的網站資料恢復過來。

關於同步備份這裡提供幾個自動化的方法:

  1. Linux VPS掛載Google Drive與Dropbox-實作VPS主機資料同步備份
  2. Linux共享資料夾目錄三種方法-NFS遠端掛載,GlusterFS共享儲存和samba共享目錄
  3. VPS掛載國內外網盤實現免費擴容工具:Rclone,COS-Fuse及OSSFS

四、檢查程序代碼,定期查殺木馬

如果你是使用Wordpress,建議不要使用盜版或破解的Wordpress主題、非官方外掛等,這些主題或外掛很有可能被人提前植入了惡意程式碼。對於新手朋友可以定期為自己的網站程式檔案做一次病毒查殺,確保不出現問題。

如何才能知道自己的伺服器是否有漏洞或木馬程式?最直接的辦法就是即時查看伺服器的進程以及連接埠使用情況,相關的命令如下:

  1. Linux系統監控指令整理總表-掌握CPU,記憶體,磁碟IO等找出效能瓶頸

五、放棄免費,改用付費或純指令

有錢的話還是建議使用付費的VPS控制面板,像WHMCS這樣的面板就更要使用付費的了,畢竟安全還是最重要的,參考:WHMCS從入門到精通。有能力的話,建議直接自行手動安裝Nginx、MysqL、PHP等建站套件,安全放心。

想要使用純指令式的LNMP、LAMP腳本建置站,推薦以下兩個:

  1. OneinStack一鍵安裝腳本-輕鬆部署Let’s Encrypt憑證設定Https站點
  2. Linux VPS建置工具LNMP 1.4安裝與使用-SSL自動配置續期和多版本PHP支持

六、總結

關於選擇免費VPS控制面板的問題,不管是國內的還是國外的都會存在或多或少的安全問題,那些長期不更新官網長期沒有人維護的VPS面板建議不要使用,因為一旦出了問題基本上處於「自救」姿態了。

對於老手們,建議盡快脫離VPS面板的影響,不管VPS面板功能有多強,只要你願意折騰都可以自己手動用指令來實現。另外,純命令式的腳本也會有問題,例如openssl漏洞、Nginx漏洞等,都需要給予關注。

發表評論