ECS 怎么3 步拦截暴力破解与 DDoS 攻击?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文由翼龙云yilongcloud撰写。
第一步:加固 SSH 登录防线
修改默认端口
编辑SSH配置文件sudo vi /etc/ssh/sshd_config# 修改Port 22为自定义端口(如 5921)
Port 5921# 重启服务
systemctl restart sshd
⚠️ 操作后需同步更新安全组规则,开放新端口
密钥替代密码登录
通过 ECS 控制台生成密钥对
禁用密码登录:PasswordAuthentication no
第二步:安全组攻防对抗演练
场景 1:拦截暴力破解
配置安全组规则:
规则方向:入方向
协议类型:TCP
端口范围:5921(自定义SSH端口)
授权对象:仅允许办公IP(最小权限原则)
✅ 解决痛点 “端口开放后仍无法访问”
场景 2:抵御 DDoS 攻击开启阿里云云盾基础防护:
控制台 → 云安全中心 → 防护配置 → 开启DDoS基础防护
第三步:等保 2.0 合规实践
启用操作审计
开通 ActionTrail 记录所有 API 调用
部署 WAF 防火墙
在 SLB 层配置 Web 应用防火墙(过滤 SQL 注入 / XSS 攻击)
设置安全告警
云监控自定义告警规则:CPU>90%+ 异常外联流量
