这是一个创建于 2902 天前的主题,其中的信息可能已经有所发展或是发生改变。
是个新手,不知道怎么做服务器的安全,安骑士,安全狗怎么用比较合适?还有哪些安全策略要做的呢?
 |
1
TimePPT 2016-11-29 16:09:39 +08:00  3
|
 |
2
Showfom 2016-11-29 16:15:55 +08:00 3
1 、关闭 root 密码登录,使用 SSH Key
2 、关闭 root 登录,使用常规用户 有需要的时候用 sudo 3 、使用 fail2ban 4 、系统和程序都随时更新升级到最新版本 5 、你网站千万千万不要用弱密码 |
 |
3
9hills 2016-11-29 16:18:15 +08:00 1
如果服务器比较多,建议选择几台作为堡垒机,然后设置 iptables 规则,将 ssh 限制到堡垒机上
这样什么 fail2ban 都不需要装 堡垒机做 2 步认证,有现成的 PAM 模块 |
 |
8
sammo 2016-11-29 16:59:02 +08:00 via iPhone
去看 digital ocean 的 vps tutorial 很详细一步步的啥都有
|
 |
9
H3x 2016-11-29 17:22:33 +08:00 1
|
 |
10
ixinshang 2016-11-29 17:24:40 +08:00 via Android
受益匪浅
|
 |
11
ywgx 2016-11-29 17:49:21 +08:00 1
目前大多数中小企业在 云上,腾讯云,阿里云, AWS, 青云, ucloud
云服务商 这块没有提供好的解决方案, 阿里云 默认给机器 安装了一个 aegis ( 安骑士客户端,也就是云盾客户端),其效果就是 定期探测服务器上几个敏感日志 和 一些文件,发现异常短信通知客户,比较占资源,而且大部分业内人士,认为 阿里云做的非常不专业 提供一种比较科学的方案,供参考: 三种机器角色 (生产机器, login 入口机器, master 管控机器 [一般是 ansible 或者 salt-master ] ) 1.首先根据网络区域,确定你们有几个网络节点, 然后每个节点,出一台 有公网的机器 作为该节点 入口 登录机器,出一台 机器 作为管控 master 机器, 该机器 默认可以免登录 所有 该节点生产机器 2. 上面入口 机器只允许 通过 ssh 可信认证登录 ,禁止密码,企业每个技术人员独立账号 (而且该机器禁止 非信任的源 IP 通过 root 登录),即该机器 对外 都是 只有普通登录权限 , 作为 内网入口跳板机 功能 入口确定了,就可以在 入口 截获每个账号的 IO 流,后续安全审计(什么时间,什么人,在哪台业务机器,做过什么操作) 3. 业务机器,限定只能通过 login(可以有多个 login 机器)入口 和 master 登录进来 , login 一般 开发人员登录, master 运维人员登录 4. 所有生产机器, 内网 10.0.0.0/8 不限制, 公网如果有,如需要,开辟几个自己需要的公开 (这块也是 通过 master 统一 模块化管控 iptables ) 更多细节 看下 xabcloud.com 的设计 |
 |
12
vultr 2016-11-29 18:00:14 +08:00
如果实在不放心,对系统的所有文件进行 sha256 运算,并且把结果存起来,每次对系统进行更改,对更新的文件也再算一次 sha256.哪天感觉系统被黑了,对一下所有文件的 sha256,你就知道了。
哈 |
 |
14
qcloud 2016-11-29 18:09:37 +08:00
只开 80 和 443 端口。。。。
|
 |
15
TaMud 2016-11-29 18:32:51 +08:00
这是一个很宽泛的问题
就如问,你猜我啥时候上天见马克思,一样 |
|
16
TaMud 2016-11-29 18:33:09 +08:00
如果有人能给你答案,那这个人肯定是半瓶水
|
 |
17
anjunecha 2016-11-29 19:05:25 +08:00 via iPhone
限定了只能用公司专线的固定 IP 登陆…
|
 |
18
Vicer 2016-11-29 19:08:01 +08:00 via Android
2 楼一定有故事
|
 |
19
snsd 2016-11-29 19:13:12 +08:00 via iPhone
有没有人说说 win 系统的服务器该怎么做安全
|
 |
20
imnpc 2016-11-29 19:22:37 +08:00
大公司的堡垒机程序可能自己开发的 支持 Linux + win
我们一般用的可能只支持 Linux 安全狗这些不建议安装 因为策略调整可能会把自己挡在外面 按照二楼的教程 只开放需要的端口 其他全部关闭 用 SSHKEY 不开放密码登录 除非特别需要密码的 请更换端口 5 位数的 |
 |
21
des 2016-11-29 19:31:28 +08:00 via Android
楼上都说的差不多了,我来补充几个重要的。
不要用 root 用户跑程序,特别是对外服务的。 记得把相关配置都过一遍,有些默认配置安全性是很弱的。 如果可以尽量不选用默认端口,可以避免一些麻烦。 最最重要的是,有默认密码的都要改掉,不用弱密码,不然其他的做再多也是白瞎 |
 |
22
vloony 2016-11-29 20:20:52 +08:00
服务器安全这方面我认为最安全的两个方法是 reboot 跟 rm -rf /
|
 |
23
wenymedia 2016-11-29 20:40:55 +08:00 via Android
用 docker 云服务 关掉 ssh … 用服务方提供的使用 docker API 的 web console 连接。但是千万别大意,依然有可能因为恶意脚本被黑
|
 |
24
zpole 2016-11-29 21:11:41 +08:00
我就简单的关闭了账号密码登录+禁止 25 ( stmp )端口。一直很奇怪为什么不禁止 stmp 就会被 spam 。。。
|
 |
26
mytsing520 2016-11-29 21:31:10 +08:00
堡垒机来做梯子登录服务器,用密钥+IP 控制登录
|
 |
29
ryd994 2016-11-29 21:40:31 +08:00 via Android
@zpole 其实没事,默认配置只路由本地邮件。正确配置也是妥妥的。然而总有小白看网上教程随便改。
加密加验证的 SMTP 没什么不靠谱的 封 25 主要是最小暴露面原则 其实如果平时不发监控邮件的话(估计大多数人也不……),可以关了 mta ,有 mda 就行 |
|
30
zpole 2016-11-29 21:45:31 +08:00
@ryd994 感觉默认配置并不安全。。。我以前不管 smtp ,新服务器开了没几天就会被 spam 。。。 smtp 配置都没修改过
|
 |
31
lan894734188 2016-11-30 03:37:09 +08:00 via Android
密匙 二次验证 端口
|
 |
32
ihciah 2016-11-30 11:55:28 +08:00 via iPhone
保证你开的服务是安全的,首先是代码要没问题,最好用 docker ,用不了也要配置好权限,以及保证内核版本较新。
|
 |
33
okudayukiko0 2016-12-03 11:14:09 +08:00 via iPhone
Fail2ban Nginx+modsecurity AppArmor/SELinux 只用 VPSConsole/虚拟化 Console/控制卡 iptables
|
|
34
okudayukiko0 2016-12-03 11:20:54 +08:00 via iPhone
@snsd 印象中 定期打补丁 然后调整组策略 设置应用程序限制 /AppLocker 设置高级 Windows 防火墙 增强 SQLServer 的安全
过往被视为安全性垃圾的 Microsoft 没错 XP/2000/2003 那时确实漏洞多 还有就是 SQL Server 2000 类的 不过到了 Win2008/SQL2008 时期应该有改善, Win2008 要求密码最低多少位(忘记了) SQL2008 的安全性也有改善 |
 |
35
fengyu110122 2018-03-29 16:03:30 +08:00
传统的思路,就是加补丁,封端口,这样能杜绝大部分的攻击
但是只有相对安全的服务器,没有绝对安全的服务器 如果做金融、游戏、新闻、共享之类的高并发且竞争激烈的行业,推荐使用帝通科技高防服务器,硬防+软防 100-500G 流量,可说是相对安全的服务器。http://www.dtidc.com/defense/hz/ |
Select Language