Linux服務(wù)器的安全設(shè)置,首先從iptablesip可以設(shè)置特定安全規(guī)則,搞個默認(rèn)禁止,只允許域內(nèi)已知主機訪問特定幾個必須端口如:80 53 443 25這幾個即可。關(guān)閉服務(wù)器sshagent轉(zhuǎn)發(fā)功能,卸載不必要的服務(wù)。禁用root賬戶遠(yuǎn)程訪問的功能,限制ftp用戶,禁用telnet等不安全連接,ssh要使用v2以上版本,配置上登錄密碼設(shè)置最大嘗試次數(shù)、口令長度字符構(gòu)成。ssh登錄的加密算法設(shè)置ASE128位,sha256以上的安全加密算法。禁止icmp重定向,限制su命令用戶組。類似的東西太多了,開源操作系統(tǒng)還是給我們提供很多安全防護手段的,大家可以一點點百度慢慢了解。以上只是操作系統(tǒng)的安全防護,web安全就是另一套東西了,一定程度上取決于你的app是否足夠安全。對于小企業(yè)官網(wǎng)來說,黑客一般不會去主動黑你,但也不乏有些人通過掃描的方式,入侵你的服務(wù)器作為肉雞或者在你的服務(wù)器上植入挖礦程序,導(dǎo)致你CPU跑滿,無法正常運行網(wǎng)站,針對這些問你題,該如何做好防護呢?在阿里云上做好安全防護相對于在自建機房更加便捷,建議遵循以下幾點:
1、安全組:采用最小授權(quán)原則,例如網(wǎng)站可以考慮只開80、443以及遠(yuǎn)程連接端口,避免第三方掃描程序通過其他端口入侵服務(wù)器;
2、漏洞修復(fù):這里面包含兩塊,第一塊是操作系統(tǒng)漏洞,這個一般控制臺都會有提示,根據(jù)提示修復(fù)或者自己手動修復(fù)即可;第二塊是程序漏洞,這塊我們在選擇程序模板時盡量選擇目前有人進行更新維護的模板;不過話說回來,現(xiàn)在市面上的CMS模板漏洞都很多。3、密碼策略:密碼盡可能復(fù)雜化,并且建議定期修改,避免因密碼泄露導(dǎo)致被別人刪庫;4、備份:一般的小企業(yè)站點,做好快照備份就可以了,阿里云的快照還是很方便的。
至于其他的安全管控,web防護等,對于小企業(yè)站點來說,投入太大也沒必要,除非該企業(yè)的官網(wǎng)需要過等保測評,那就另當(dāng)別論。
首先是服務(wù)器的用戶管理,很多的攻擊和破解,首先是針對于系統(tǒng)的遠(yuǎn)程登錄,畢竟拿到登錄用戶之后就能進入系統(tǒng)進行操作,這個權(quán)限還是很高的。所以對于Linux系統(tǒng),首先要做的就是禁止root超級用戶的遠(yuǎn)程登錄,然后專門創(chuàng)建一個普通用戶給予sudo操作權(quán)限進行遠(yuǎn)程登錄使用。然后再把ssh的默認(rèn)端口改為其他不常用的端口。你可能不知道我們的服務(wù)器其實每天都在被很多的掃描工具在掃描著,尤其是對于Linux服務(wù)器的ssh默認(rèn)22端口,掃描工具掃描出22端口之后就可能會嘗試破解和登錄。把ssh的默認(rèn)端口修改后可以減少被掃描和暴力登錄的概率。此外你還可以使用fail2ban等程序防止ssh被暴力破解,其原理是嘗試多少次登錄失敗之后就把那個IP給禁止登錄了。
SSH改成使用密鑰登錄,這樣子就不必?fù)?dān)心暴力破解了,因為對方不可能有你的密鑰,比密碼登錄安全多了。服務(wù)器安全還跟你服務(wù)器上運行的程序有關(guān),尤其是你運行的網(wǎng)站程序。網(wǎng)上也有很多的爬蟲機器人每天在掃描著各式各樣的網(wǎng)站,嘗試找系統(tǒng)漏洞。即使你前面把服務(wù)器用戶權(quán)限管理、登錄防護都做得很好了,然而還是有可能在網(wǎng)站程序上被破解入侵,畢竟你的網(wǎng)站程序運行在你的服務(wù)器上,也具有操作服務(wù)器的諸多權(quán)限。所以一定要定期檢查和升級你的網(wǎng)站程序以及相關(guān)組件,及時修復(fù)那些重大的已知漏洞。另外你說需要在服務(wù)器上運行多個網(wǎng)站系統(tǒng)(博客+企業(yè)官網(wǎng))。我推薦使用docker容器的方式隔離運行環(huán)境,將每個程序運行在一個單獨的容器里,這樣即使服務(wù)器上其中的一個網(wǎng)站程序被破解入侵了,也會被限制在被入侵的容器內(nèi),不會影響到其他的容器,也不會影響到系統(tǒng)本身。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!