知乎:云服务器如何设置能更加安全?
云服务器如何设置能更加安全?
新手站长,购入了阿里云的云服务器,想知道如何配置才能降低被攻击和黑入的可能性
使用centos7.7,暂时只搭建了个人博客,计划搭载一个小企业官网
谢邀
老骥作为多年的站长,这里说下自己的一些经验
1.黑客不会去特意针对你的网站去渗透攻击,你的网站被攻击可能也仅仅是你的网站正好凑巧进入到黑客的那一张捕鱼的“网”上去了
2.其他答主也都说了,端口,root密码这两样,我再补充一点:千万不要用所谓的破解程序(包括主题,插件等),一定不要用不知名的网站程序,尽量不要用国人开发的程序。往往很多时候都是程序上的漏洞或者木马导致你的网站撞到了黑客捕鱼的“网”上去。
回答3 liberty
注意端口和密码复杂度,和网站代码的安全性。
尽可能不开放不需要的端口,数据库端口尽量不对外开放,或者改掉默认端口,服务器只留80端口。
密码尽量避免弱口令,服务器每天都会被扫描,黑客会用常用的密码,比如:root,1111这样的简单密码去尝试连接数据库,有可能会被黑客猜出密码,然后删库,支付比特币才能恢复:(
网站数据库可能被SQL注入,不需要密码就能登录之类的,后端要用预编译语句。还有跨站脚本攻击,获取cookie。还有蠕虫病毒之类的。
暂时就学过这么多。
回答4 海风
服务器安全其实来自于很多的方方面面,我简单的说一下我个人认为比较重要的几个方面:
- 首先是服务器的用户管理,很多的攻击和破解,首先是针对于系统的远程登录,毕竟拿到登录用户之后就能进入系统进行操作,这个权限还是很高的。所以对于Linux系统,首先要做的就是禁止root超级用户的远程登录,然后专门创建一个普通用户给予sudo操作权限进行远程登录使用。
- 然后再把ssh的默认端口改为其他不常用的端口。你可能不知道我们的服务器其实每天都在被很多的扫描工具在扫描着,尤其是对于Linux服务器的ssh默认22端口,扫描工具扫描出22端口之后就可能会尝试破解和登录。把ssh的默认端口修改后可以减少被扫描和暴力登录的概率。此外你还可以使用fail2ban等程序防止ssh被暴力破解,其原理是尝试多少次登录失败之后就把那个IP给禁止登录了。
- SSH 改成使用密钥登录,这样子就不必担心暴力破解了,因为对方不可能有你的密钥,比密码登录安全多了。
- 服务器安全还跟你服务器上运行的程序有关,尤其是你运行的网站程序。网上也有很多的爬虫机器人每天在扫描着各式各样的网站,尝试找系统漏洞。即使你前面把服务器用户权限管理、登录防护都做得很好了,然而还是有可能在网站程序上被破解入侵,毕竟你的网站程序运行在你的服务器上,也具有操作服务器的诸多权限。所以一定要定期检查和升级你的网站程序以及相关组件,及时修复那些重大的已知漏洞。
- 另外你说需要在服务器上运行多个网站系统(博客+企业官网)。我推荐使用docker容器的方式隔离运行环境,将每个程序运行在一个单独的容器里,这样即使服务器上其中的一个网站程序被破解入侵了,也会被限制在被入侵的容器内,不会影响到其他的容器,也不会影响到系统本身。
2.巧用工具,安全检查要勤快。举个例子,Windows上安装安全狗服务器版,搭配iis安全防护,根据需求开启三层防护。因为是免费版所以不提供自动拉黑IP的功能,所以要勤快,每天日志里面看下哪些IP在扫描目录,攻击某个接口等,及时拉黑。遇到的很经常是云服务器的IP,百度一下来源,直接网段拉黑。
3.代码层面尽量测试谨慎,不要有明显的漏洞和后门文件。举个例子,像用DedeCms织梦模板旧版本WordPress,网上都不知道经过几手发布,这种十个里面九个有漏洞或者被安了后门。针对具体的网站内容,文件夹权限分清楚,不要图方便一股脑777。
回答7 Godot
首先要强化 ssh 的安全配置,比如端口更改,公钥登录等,具体可以参考 这里。
另外建站的话要注意网站服务本身的漏洞,比如后端接口的校验、是否使用了 https 协议,到数据库用户的登录方式、操作权限大小,使用开源框架如 WordPress 的话不要随便安装来历不明的主题和插件、登录方式开启 2FA 的认证方式等。
做好监控和数据备份,这样即使受到攻击也可以及时知晓并挽回损失。
回答8 智晓云
对于小企业官网来说,黑客一般不会去主动黑你,但也不乏有些人通过扫描的方式,抓你的服务器作为肉鸡或者在你的服务器上植入挖矿程序,导致你CPU跑满,无法正常运行网站,针对这些问你题,该如何做好防护呢?
在阿里云上做好安全防护相对于在自建机房更加便捷,建议遵循以下几点:
1、安全组:采用最小授权原则,例如网站可以考虑只开80、443以及远程连接端口,避免第三方扫描程序通过其他端口入侵服务器;
2、漏洞修复:这里面包含两块,第一块是操作系统漏洞,这个一般控制台都会有提示,根据提示修复或者自己手动修复即可;第二块是程序漏洞,这块我们在选择程序模板时尽量选择目前有人进行更新维护的模板;不过话说回来,现在市面上的CMS模板漏洞都很多。
3、密码策略:密码尽可能复杂化,并且建议定期修改,避免因密码泄露导致被别人删库;
4、备份:一般的小企业站点,做好快照备份就可以了,阿里云的快照还是很方便的。
至于其他的安全管控,web防护等,对于小企业站点来说,投入太大也没必要,除非该企业的官网需要过等保测评,那就另当别论。
