Linux 管理过程中，关闭 22 端口，只使用 vnc 管理是否更安全？

1 、成功利用该漏洞的攻击者可以以 root 身份进行未经身份验证的远程代码执行 (RCE)。在某些特定版本的 32 位操作系统上，攻击者最短需 6-8 小时即可获得最高权限的 root shell 。而在 64 位机器上，目前没有在可接受时间内的利用方案，但未来的改进可能使其成为现实。

大多数安全的问题，都是有很必要条件的，不用折腾这些了。

你 3306 也放出去啊。

@xdzhang 局域网组网做读写分离必须要开咋办啊？😭

@Features #23 可以配置指定网段才能连过去的，把数据库的集群放一个小网段下就行。

@huangcjmail 感谢感谢，我知道怎么配置了

@retanoj #13 内网访问请走 VPN 、专线，外网访问请加 waf 等安全设备。

所有人都看漏了。。服务商的 vnc 。是阿里云吗？直接付费买他的堡垒机。所有机器不开外网。暴露外网都走 slb 。就只有你接口漏洞了。

嫌贵就 jumpserver 走着。jumpserver 的机器和公司 vpn 打通。ipsec 的安全性还是有保障的

我觉得很神奇。。。。我已经看到无数的公司的阿里云的机器直接申请 eip 暴露出公网。。真不嫌命大和麻烦

挂个 wireguard 除了 80 443 端口都不对外开放

@gesse 人家一扫就扫出来了

只要是人写的软件，都可能出现漏洞，除非你不所有端口都关了

开了 3306 ？你为什么不做个 vpn 呢？挺无语的

就算你只开通 80 端口，端口的大问题算是合格了，但是你怎么保证你的 web 没有漏洞？

没必要太担心，安全是相对的，做好基本的防护，足以。比如这个 ssh 你平时有加 fail2ban 或者登入几次失败后锁定账户，都能缓解，还有之前那个 CVE-2024-1086 普通用户提权，那也需要普通用户进去了不是


成功利用漏洞是需要一定条件的，而且还要看你是否有价值。

只允许 vpn 访问 ssh 端口不就行了

就算有那个漏洞你觉得实现起来容易吗？

升级 SSH ×
杀掉 SSH √
不是很能理解一些人的脑回路……系统安全本来就依赖软件经常更新，经常打上安全补丁。
SSH 关了有什么用，下次照样从你没打补丁的 Web server 进来。

因噎废食？

3306 为什么要开到公网？既然是局域网复制读写分离，MySQL 绑定的网卡到局域网的 IP 就行了