iptables服务器安全组设置防入侵法则

简介: Linux服务器的安全设置,首先从iptablesip可以设置特定安全规则,搞个默认禁止,只允许域内已知主机访问特定几个必须端口如:80 53 443 25这几个即可。关闭服务器sshagent转发功能,卸载不必要的服务。禁用root账户远程访问的功能,限制ftp用户,禁用telnet等不安全连接,ssh要使用v2以上版本,配置上登录密码设置最大尝试次数、口令长度字符构成。ssh登录的加密算法设置ASE128位,sha256以上的安全加密算法。禁止icmp重定向,限制su命令用户组。类似的东西太多了,开源操作系统还是给我们提供很多安全防护手段的,大家可以一点点百度慢慢了解。

Linux服务器的安全设置,首先从iptablesip可以设置特定安全规则,搞个默认禁止,只允许域内已知主机访问特定几个必须端口如:80 53 443 25这几个即可。关闭服务器sshagent转发功能,卸载不必要的服务。禁用root账户远程访问的功能,限制ftp用户,禁用telnet等不安全连接,ssh要使用v2以上版本,配置上登录密码设置最大尝试次数、口令长度字符构成。ssh登录的加密算法设置ASE128位,sha256以上的安全加密算法。禁止icmp重定向,限制su命令用户组。类似的东西太多了,开源操作系统还是给我们提供很多安全防护手段的,大家可以一点点百度慢慢了解。以上只是操作系统的安全防护,web安全就是另一套东西了,一定程度上取决于你的app是否足够安全。对于小企业官网来说,黑客一般不会去主动黑你,但也不乏有些人通过扫描的方式,入侵你的服务器作为肉鸡或者在你的服务器上植入挖矿程序,导致你CPU跑满,无法正常运行网站,针对这些问你题,该如何做好防护呢?在阿里云上做好安全防护相对于在自建机房更加便捷,建议遵循以下几点:


00e93901213fb80ea51eb8eff72adc29b838943b.jpeg


1、安全组:采用最小授权原则,例如网站可以考虑只开80、443以及远程连接端口,避免第三方扫描程序通过其他端口入侵服务器;


2、漏洞修复:这里面包含两块,第一块是操作系统漏洞,这个一般控制台都会有提示,根据提示修复或者自己手动修复即可;第二块是程序漏洞,这块我们在选择程序模板时尽量选择目前有人进行更新维护的模板;不过话说回来,现在市面上的CMS模板漏洞都很多。


3、密码策略:密码尽可能复杂化,并且建议定期修改,避免因密码泄露导致被别人删库;


4、备份:一般的小企业站点,做好快照备份就可以了,阿里云的快照还是很方便的。


至于其他的安全管控,web防护等,对于小企业站点来说,投入太大也没必要,除非该企业的官网需要过等保测评,那就另当别论。


962bd40735fae6cd7280b00f97981b2c42a70f5e.jpeg


首先是服务器的用户管理,很多的攻击和破解,首先是针对于系统的远程登录,毕竟拿到登录用户之后就能进入系统进行操作,这个权限还是很高的。所以对于Linux系统,首先要做的就是禁止root超级用户的远程登录,然后专门创建一个普通用户给予sudo操作权限进行远程登录使用。然后再把ssh的默认端口改为其他不常用的端口。你可能不知道我们的服务器其实每天都在被很多的扫描工具在扫描着,尤其是对于Linux服务器的ssh默认22端口,扫描工具扫描出22端口之后就可能会尝试破解和登录。把ssh的默认端口修改后可以减少被扫描和暴力登录的概率。此外你还可以使用fail2ban等程序防止ssh被暴力破解,其原理是尝试多少次登录失败之后就把那个IP给禁止登录了。


b151f8198618367ac92006edb4589fdcb31ce50c.jpeg


SSH改成使用密钥登录,这样子就不必担心暴力破解了,因为对方不可能有你的密钥,比密码登录安全多了。服务器安全还跟你服务器上运行的程序有关,尤其是你运行的网站程序。网上也有很多的爬虫机器人每天在扫描着各式各样的网站,尝试找系统漏洞。即使你前面把服务器用户权限管理、登录防护都做得很好了,然而还是有可能在网站程序上被破解入侵,毕竟你的网站程序运行在你的服务器上,也具有操作服务器的诸多权限。所以一定要定期检查和升级你的网站程序以及相关组件,及时修复那些重大的已知漏洞。另外你说需要在服务器上运行多个网站系统(博客+企业官网)。我推荐使用docker容器的方式隔离运行环境,将每个程序运行在一个单独的容器里,这样即使服务器上其中的一个网站程序被破解入侵了,也会被限制在被入侵的容器内,不会影响到其他的容器,也不会影响到系统本身。

相关文章
|
20天前
|
缓存 监控 定位技术
|
23天前
|
监控 Kubernetes 安全
如何设置一个有效的远程管理工具来简化服务器的维护工作?
如何设置一个有效的远程管理工具来简化服务器的维护工作?
|
1月前
|
前端开发 开发工具 git
如何清理 docker 磁盘空间+修改 Gitea 服务器的 Webhook 设置+前端一些好学好用的代码规范-git hook+husky + commitlint
如何清理 docker 磁盘空间+修改 Gitea 服务器的 Webhook 设置+前端一些好学好用的代码规范-git hook+husky + commitlint
34 5
ly~
|
1月前
|
网络协议 应用服务中间件 Apache
如何在 DNS 记录中设置反向代理服务器?
要设置反向代理服务器,首先需安装配置软件(如 Nginx 或 Apache),并确保域名正确指向服务器 IP。接着,在 DNS 中设置 A 或 CNAME 记录,将域名指向反向代理服务器。然后编辑 Nginx 或 Apache 的配置文件,将请求转发至后端服务器。最后,通过浏览器访问域名测试配置是否成功,并使用工具检查请求流向和响应情况。
ly~
134 3
|
30天前
|
Web App开发 安全 网络安全
tplink虚拟服务器设置方法
为了更全面地理解云服务及其在企业应用中的角色,推荐访问,他们提供了一系列高性能、安全稳定的云服务器解决方案,包括但不限于香港云服务器、高防服务器等,特别适合寻求全球化业务扩展的企业。蓝易云不仅拥有全球化的基础设施布局,还提供针对各种行业定制的全栈云解决方案,助力企业实现云端部署,跨越传统界限,即刻启航云端之旅。
33 0
|
1月前
|
弹性计算 安全 网络协议
如何创建VPC并配置安全组以保护您的阿里云服务器
如何创建VPC并配置安全组以保护您的阿里云服务器
|
2月前
|
监控 Kubernetes 安全
如何设置一个有效的远程管理工具来简化服务器的维护工作?
如何设置一个有效的远程管理工具来简化服务器的维护工作?
|
4月前
|
弹性计算 Linux 云计算
云服务器 ECS产品使用问题之如何设置adminpassword
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
4月前
|
弹性计算 监控 开发工具
云服务器 ECS产品使用问题之新建ECS时,怎么加入多个安全组
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
3月前
|
域名解析 网络协议 数据中心
【应用服务 App Service】当遇见某些域名在Azure App Service中无法解析的错误,可以通过设置指定DNS解析服务器来解决
【应用服务 App Service】当遇见某些域名在Azure App Service中无法解析的错误,可以通过设置指定DNS解析服务器来解决