拿到新的 digital ocean 的一台 vps 需要做哪些事情

2015-01-07 17:59:37 +08:00
 azuginnen
之前没有用过vps, 不知道一些最佳实践是啥。

一开始root 设置了一个弱密码,果断被人黑了,vps变成了一个ddos 肉鸡。
被do封锁了,后来交涉了一下才重装了系统。

搜索了一下,解决类似问题的全是中文blog。

后来搜索这个社区的帖子,主要有

1. 装上fail2ban
2. 设置iptable
3. 不要用弱密码,要用ssh
4. 关于端口,只放行有限端口,ssh端口改掉
5. 不要用root

其他呢?

还有 http://v2ex.com/t/160041#reply11 这个帖子,被攻击怎么办呢。被 ddos 也算我的流量 啊。

感谢!
7507 次点击
所在节点    问与答
11 条回复
czheo
2015-01-07 18:02:45 +08:00
差不多够了
mcone
2015-01-07 18:03:20 +08:00
把密码登陆禁掉,换私钥登陆

其实你把你前面说的都做了,就基本差不多了,最可怕的就是光看/说不做
TrustyWolf
2015-01-07 18:08:27 +08:00
改SSH端口禁用root登陆就行了
CentOS 7的初始化设置可以参考我的博客:
https://blog.trusty.wolf.moe/
博客的美国节点就是使用了Digital Ocean的纽约机房的VPS ^_^
zinev
2015-01-07 18:22:05 +08:00
azuginnen
2015-01-07 20:13:19 +08:00
好吧。这是我从v站搜索到的

分享给有需要的人

===

1、修改iptable只开放80端口(或需要使用的其他端口)
2、新建一个用户(eg:tweb),分配某块区间(eg:/usr/www/myweb)的读写权限,并禁止其登陆。tomcat就交给这个用户管理。这样,及时网站被破解了拿到了用户密码,也只能操作这个区间内的东西,不会影响你其他的分区和资源。
3、不要拿tomcat做http服务器,装nginx或apache做这个事情。把图片、css、js等静态资源交给nginx处理,动态请求交给tomcat处理。
4、用类似Fail2Ban这样的东西限制登录次数,保证不被穷举破解。
5、其实,Linux的安全核心应该是:用户+iptable。二者配合,足够啦。

===

另一条

做物理隔离最简单,VPN次之,上公网后安全没有一劳永逸,有的搞。
以linux中debian/ubuntu为例,最基础的:

1. 系统内核参数,改/etc/sysctl.conf 跳转参数。
2. 端口只开放 ssh/http/https, 改ssh 端口到其它数字,并fail2ban,
条件许可时ssh用ip白名单、纯证书访问。
3. 服务器内各进程权限独立,特别是私有程序编译时,除了守护进程用root,其它全部降权。
4. 用户权限与文件夹权限:关闭root登陆,管理员另起sudo用户名,web文件夹755 文件644
各种配置文件640加服务器Deny Access Protection,多用户隔离。
5. 如果允许用户上传文件,取消一切执行权限,最好放在另一台media服务器。
6. Hot Links/Reverse Proxy偷流量好防,DDOS被盯上就要出血,穷人解法用varnish/load balancer稍微挡一下,总之得烧钱。

网站程序自身还要具备各种Validation, SSL加密敏感交互,特殊字符escape,防SQL注入和XSS机制。
Tomcat 和 Oracle具体防护又是另外话题了,感觉运维里面很大一部分成本被安全占了。


===


对于确保linux系统安全的,不知道大家还有没有心得。
20140930
2015-01-07 21:27:25 +08:00
我就把密码改成一个50位以上随机生成的密码,装个ss,其他的什么都不改也没见被人黑了
Draplater
2015-01-07 21:43:11 +08:00
使用公钥登录就不担心弱口令问题了
typcn
2015-01-07 21:47:20 +08:00
DisactiveOcean
DontOrder
typcn
2015-01-07 21:48:50 +08:00
(略瞌睡晕了拼写错误了)
DeactivateOcean
xuwenmang
2015-01-07 22:05:43 +08:00
阿里云的,找客服给装了系统,就直接用了。。
kang000feng
2015-01-09 04:29:30 +08:00
有人要用我的邀请链接吗? 各得10刀 https://www.digitalocean.com/?refcode=05c6c3707940

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/160058

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX