还没毕业的小白求问,一直是Apache Server的脑残粉,但因为documentation入门门槛有点高,也一直是一知半解,调教好了也都是裸奔状态,也一直没事...
之前有段时间因为组里逗比三哥的强烈要求,使用了Tomcat配合Grail,自己在AWS搭了个testing的环境,结果没两天就被人暴力破解了有个没改的默认用户密码,然后成为僵尸机到处spam,最后损失惨重...
印象中企业级的server都会配置硬件防火墙,但现在Clouding都是以租用VM为主,请问有配置软件防火墙的吗?如果有的话,都是用哪种呢?在选择对比的时候主要考虑的是哪些factor呢?
PS. LZ在外读书,虽然说中文,但术语上确实有障碍,麻烦各位大大多多包涵... :)
 |
1
henryzhou Mar 20, 2015
你这情况有防火墙也防不了默认密码不修改啊
|
 |
2
sallowdish OP @henryzhou 哈哈,批评的好,当初用的时候没仔细看,Tomcat默认了那么多用户。。只是在想有防火墙可以应对其他的一些情况,比如限制端口,限制IP range等等,虽然AWS也有相关的monitor system和alarm,但感觉不是很有效,默默的就scale了说
|
 |
3
ryd994 Mar 20, 2015 via Android
硬件软件都有各自适合的情况
抗DoS或者服务器流量大的话肯定硬件是少不了的,软防的话多半顶不住 但是不是说有了硬防软防就不需要了 软防比硬防灵活的多,可以根据应用层的情况控制(比如密码错误次数) 在没有攻击的时候,软防的成本非常低 但是无论哪种,防火墙毕竟只是安全的一部分,而服务器安全永远是木桶。 能不用的服务全关掉,能不开的端口全不开,多一事不如少一事 |
 |
4
arkilis Mar 20, 2015
只是做了iptable简单防护。。。
|
 |
5
Showfom PRO 简单的防护的话 iptables 或者 ufw 即可
|
 |
6
mcfog Mar 20, 2015 via Android
改端口,禁用密码登录,一次性密码什么的随便弄弄基本防住多数的批量抓鸡
|
 |
7
Dk2014 Mar 20, 2015 via Android
fail2ban吧
|
 |
8
xfspace Mar 20, 2015 via Android
默认密码的解决方案就是:
下之前把ssh关了,然后 用再发tk给机房开ssh |
 |
9
shixinyu Mar 20, 2015  2
Quote: 如何保护你的Linux VPS的安全:
http://segmentfault.com/blog/reeco/1190000002585483 |
 |
10
reeco Mar 20, 2015
刚想发,发现被楼上发了
|
 |
11
twl007 Mar 20, 2015 via iPhone
装个denyhosts 一了百了 轻松抵御ssh暴力破解
|
 |
17
libook Mar 21, 2015
防火墙不是万能的,不要把防火墙当成自己惰性的挡箭牌,防火墙的基本功能是控制哪些IP的哪些端口可以从哪张网卡的哪些端口访问进来;所谓的防DDOS、防暴力破解等功能都是附加的,只应该在极端情况下才发挥作用。
所以你的问题不是用不用防火墙,而是如何提升系统安全性,习惯为首,大多数骇客都是利用社会工程学来进行入侵的,如果你的习惯不好,攻下你的系统只是时间问题(有可能连时间都不成问题)。 几条拙见: 1.使用软防火墙(iptables/CentOS7 firewall)开白名单,只开放必用的端口。 2.密码使用强密码,不同用户的密码不得一样。登陆使用SSH Key,并为SSH key设置密码。 3.服务不要跑在管理用户上,只给服务用户必需的权限。 另外有一个技巧,如果预算足够的话,建议非公网服务只跑在局域网里,外网访问不到,只给公网服务配置公网IP,但是将所有的公网服务器的SSH端口配置为只允许内网访问,然后专门配置一台最低配的公网服务器作为SSH跳板机,如果想访问任何一台服务器都要先登陆跳板机,然后再使用内网IP(建议配置好hostname)SSH到任意一台服务器上。好处由于没有人知道跳板机的存在,所有服务器又不开放公网SSH端口,所以无处下手;缺点是使用SCP的话就只能先上传到跳板机再从跳板机传到目标主机,不过也可以临时在跳板机上开SSH隧道。 |
Select Language