安全管理
思考:小云担心自己网站的安全性问题,如何能够让云服务器ECS实例上的网站更安全的运行?
为保护ECS实例安全和ECS实例中运行的网站安全,需要对ECS实例进行安全加固,常见的云服务器ECS实例的安全加固方法有:
- 定期变更登录密码或使用密钥方式访问ECS实例,并保护密码/密钥安全不泄露
- 配置安全组规则,关闭危险端口,仅开放必要的端口,并限制访问IP
- 定期安装系统补丁,避免操作系统漏洞导致系统被入侵
修改ECS实例登录密码
方式一:重置ECS实例密码
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏左上角处,选择地域。
- 选择要操作的实例,在操作列中,选择
> 实例属性 > 重置实例密码
- 在弹出的重置实例密码对话框中,根据实例情况,选择重置密码的方式为在线重置密码或离线重置密码。输入并确认新登录密码,然后单击重置密码。要求实例登录密码的长度为8~30个字符,且至少包括以下字符类型中的三项:
- 大写字母
- 小写字母
- 数字
- 特殊字符,支持 ( ) ` ~ ! @ # $ % ^ & * - _ + = | { } [ ] : ; ' < > , . ? / 。
注意:Windows实例的登录密码不能以正斜线(/)作为首字符。
方式二:在实例内部修改登录密码
修改Linux实例的登录密码,以CentOS 7.6为例,修改步骤如下所示:
- 登录实例。
- 执行命令passwd username,例如passwd ecs-user。
- 输入新密码。
- 重新输入确认密码。
修改Windows实例的登录密码,以Windows Server 2012为例,修改步骤如下所示:
- 登录实例。
- 单击开始 > 运行,输入compmgmt.msc并回车。
- 在计算机管理界面中,单击计算机管理 > 本地用户和组 > 用户。
- 右键单击待修改的用户名,例如Administrator。
- 单击设置密码。
- 在为 Administrator 设置密码对话框中,单击继续,输入新密码和确认密码,然后单击确定。
使用密钥登录ECS实例
阿里云SSH密钥对是一种安全便捷的登录认证方式,由公钥和私钥组成,仅支持Linux实例。
相较于用户名和密码认证方式,SSH密钥对有以下优势:
- 安全性:SSH密钥对登录认证更为安全可靠。
- 密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁。
- 不可能通过公钥推导出私钥。
- 便捷性:
- 如果您将公钥配置在Linux实例中,那么,在本地或者另外一台实例中,您可以使用私钥通过SSH命令或相关工具登录目标实例,而不需要输入密码。
- 便于远程登录大量Linux实例,方便管理。如果您需要批量维护多台Linux实例,推荐使用这种方式登录。
思考:小云知道了SSH密钥有这么多的优势,应该如何操作呢?
使用SSH密钥登录ECS实例主要有以下三步:
- 创建SSH密钥对
- 绑定密钥对至ECS实例
- 通过密钥认证登录Linux实例
创建SSH密钥对:
- 登录ECS管理控制台。在左侧导航栏,选择网络与安全 > 密钥对。
- 在顶部菜单栏左上角处,选择地域。
- 单击创建密钥对。在创建密钥对页面,完成以下配置:
- 密钥对名称:密钥对名称不能和已有密钥对重复。长度为2~128个字符,不能以特殊字符及数字开头,只可包含特殊字符中的英文句号(.)、下划线(_)、短划线(-)和冒号(:)。
- 创建类型:您可以选择以下任一类型创建密钥对。建议您选择自动新建密钥对,并及时保存私钥。
- 自动新建密钥对:系统会为您自动创建密钥对。创建完成后将自动下载私钥,您只有这一次下载私钥的机会,因此请妥善保存私钥文件。
- 导入已有密钥对:您可以自行导入Base64编码的公钥内容。
- 资源组:您可以为密钥对指定一个资源组,实现对资源的分组管理。
- 标签:您可以为密钥对绑定一个或多个标签,便于搜索和资源聚合。
- 创建成功后,浏览器自动下载私钥文件(密钥对名称.pem)到本地电脑。
绑定密钥对:
- 登录ECS管理控制台。在左侧导航栏,选择网络与安全 > 密钥对。
- 在顶部菜单栏左上角处,选择地域。
- 找到需要操作的密钥对,在操作列中,单击绑定密钥对。
- 在选择ECS实例栏中,选中需要绑定该密钥对的ECS实例名称,单击>图标,移入已选择栏中。
- 单击确定。
- 重启或启动ECS实例。
- 如果ECS实例处于运行中(Running)状态,重启实例使操作生效
- 如果ECS实例处于停止中(Stopped)状态,启动实例使操作生效
通过密钥认证登录Linux实例:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏左上角处,选择地域。
- 找到需要操作的ECS实例,在操作列中,单击远程连接。
- 勾选证书认证,上传浏览器自动下载私钥文件(密钥对名称.pem),点击确定,即可成功登录ECS实例。
安全组
安全组是阿里云上的虚拟防火墙。用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力。
安全组规则:指定了一个或多个防火墙规则,规则包含容许/拒绝访问的IP、端口等。
ECS实例加入安全组的规则如下:
- 实例至少加入一个安全组,可以同时加入多个安全组。
- 实例上挂载的弹性网卡中,辅助网卡可以加入和实例不同的安全组。
- 实例不支持同时加入普通安全组和企业安全组。
- 安全组具备默认规则,可以根据需要灵活维护规则。
安全组使用建议:
使用安全组:
- 登录ECS管理控制台。在左侧导航栏,选择网络与安全 > 安全组。
- 在顶部菜单栏左上角处,选择地域。
- 点击左上角创建安全组,可新建安全组。
- 找到需要操作的安全组,在操作列中,可进行安全组管理。
小云希望允许所有人访问他的个人网站,他对安全组规则做了如下配置:
提示:默认Web服务(个人网站)通过80端口对外提供服务,授权对象 0.0.0.0/0表示对所有IP生效。
补丁管理
小云希望他所购买的ECS实例的系统漏洞尽快修复从而避免受到安全攻击,或者需要所使用的一些软件包的版本始终保持到最新版本,这个时候需要用到补丁管理。
小云可以通过云服务器ECS中免费的自动升级补丁工具来自动扫描实例内的系统补丁,并完成补丁的下载和安装。
提示:系统补丁升级可能会导致实例重启,请选择合适的运维窗口进行系统补丁升级。
使用方法:
云服务器控制台 > 实例 > 进入要操作的实例详情 > 定时与自动化任务页签 > 自动升级补丁页签 > 管理和升级补丁
练习实验:云服务器ECS的基础运维管理
https://developer.aliyun.com/adc/scenario/56d2ed6b24204f109154b73e45e39aea
