对于VPS主机建站新手来说,其实我一直推荐使用VPS主机控制面板。现在市面上免费的VPS主机控制面板很多,很多刚刚从虚拟主机过渡到VPS的朋友于命令还不是很熟悉,VPS主机控制面板上手容易,可以大大提高工作效率。
但是使用免费的VPS控制面板有一个致命的可能性就是存在安全问题,这几天爆出的“VestaCP安全漏洞导致Digital Ocean上百台服务器成为肉机”已经在VestaCP官网论坛和lowendtalk论坛上炸开了锅,众多的用户开始吐槽VestaCP安全问题。
根据好友baoang的留言提醒:流行Linux控制面板VestaCP被发现有0日漏洞,大体说是可能有人在面板程序发布前就在它们的REPO中插入手脚,所以不管用户怎么安装,都有问题。里面的代码装完都是用root权限运行的,会在特定时间把VPS当肉鸡向外攻击。
考虑到有不少的用户是看到挖站否的介绍去尝试了VestaCP面板,在此强烈建议大家赶紧备份好数据(如果有之前的备份就更好,以免当前网站文件或者数据库受到感染),重装VPS系统,重装安装最新版本的VestaCP,同时密切关注VestaCP最新动态。
正好借此机会也来为大家分享如何在使用免费VPS主机控制面板的前提下,确保自己的服务器安全可靠。关于更多的建站工具这里有:
PS:更新记录.
之前Qi做了一个VPS主机控制面板汇总专题:服务器控制面板榜单,大家可以多多关注一下自己使用的VPS面板,一般来说官方论坛会最先发布面板的补丁以及更新程序,及时更新面板补丁和漏洞是减少损失的最快的方法。
关于服务器自身的安全往往是不少人所忽略的,实际上VPS控制面板即使做得再好如果VPS自身的安全不够好,那也是徒劳。强化服务器自身的安全最好是选购大牌靠谱的VPS商,有关评测参考:VPS主机排行榜单。
VPS控制面板如果出现问题,是可以在网站日志中看到蛛丝马迹的。这里推荐两个日志分析工具和性能监控工具,一旦服务器被黑基本上可以从日志+性能监控图表中看到异常信息,帮助我们迅速定位问题。
要养成网站数据定期备份的好习惯,有条件的朋友还可以部署异地容灾备份方案,总之数据是无价的,一旦服务器被黑也可以在最短的时间内将之前正常的网站数据恢复过来。
关于同步备份这里提供几个自动化的方法:
如果你是使用Wordpress,建议不要使用盗版或者破解的Wordpress主题、非官方插件等,这些主题或者插件很有可能被人提前植入了恶意代码。对于新手朋友可以定期给自己的网站程序文件做一次病毒查杀,确保不出现问题。
如何才能知道自己的服务器是否有漏洞或者木马程序?最直接的办法就是实时查看服务器的进程以及端口使用情况,相关的命令如下:
有钱的话还是建议使用付费的VPS控制面板,像WHMCS这样的面板就更要使用付费的了,毕竟安全还是最重要的,参考:WHMCS从入门到精通。有能力的话,建议直接自己手动安装Nginx、MysqL、PHP等建站套件,安全放心。
想要使用纯命令式的LNMP、LAMP脚本建站,推荐以下两个:
关于选择免费VPS控制面板的问题,不管是国内的还是国外的都会存在或多或少的安全问题,那些长期不更新官网长期没有人维护的VPS面板建议不要使用,因为一旦出了问题基本上处于“自救”姿态了。
对于老手们,建议尽快脱离VPS面板的影响,不管VPS面板功能有多强,只要你愿意折腾都可以自己手动用命令来实现。另外,纯命令式的脚本也会有问题,例如openssl漏洞、Nginx漏洞等,都需要给予关注。
文章出自:挖站否 https://wzfou.com/vps-control-panel/,版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
文章更新于: 2021年5月18日 下午8:23
查看评论
不是不会用命令,实在是懒得敲。。。。。对于小规模的网站,真的懒得折腾 :-)
小网站用面板也可以,不用折腾。
我一直在防火墙里禁掉面板的管理端口,自己需要管理时用SSH Tunnel登上去,这样除了我谁也不能访问啦
这样也好,就是用的时候麻烦一些。我是修改端口。
怕不是官方暗中操作吧
应该不可能。
我平时都不开iptables,不改默认默认端口的,被入侵了就从备份里拉一份出来还原
佛系。
备份数据很重要,
经常备份数据 才是王道呀!
宝塔的安全性怎么样啊?
目前来看没有发现严重的安全问题。
官方论坛提供用户直接更新到最新版解决问题
v-update-sys-vesta-all
https://forum.vestacp.com/viewtopic.php?f=25&t=16575
所以, 我用的是命令。
我把vps的ssh端口关了,用的时候再开。
这样岂不是很麻烦?
https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=430#p69386
这条评论里提一,用了新的20版的官方包安装,仍然会感染。
“Yesterday I installed 0.9.8-20 on a fresh vultr centos 7.4 everything was fine the whole day until I ran yum update today, centos and vesta had updates so I accepted them and then the server was infected. Now I am afraid to run yum update after installing vesta. So I guess 0.9.8-20 is affected as well.”