服务器安全大家怎么做的

2016-11-29 16:00:19 +08:00
 w6643
是个新手,不知道怎么做服务器的安全,安骑士,安全狗怎么用比较合适?还有哪些安全策略要做的呢?
5865 次点击
所在节点    Linux
35 条回复
TimePPT
2016-11-29 16:09:39 +08:00
Securing a Linux Server
http://spenserj.com/blog/2013/07/15/securing-a-linux-server/
这篇不错,可以看看
Showfom
2016-11-29 16:15:55 +08:00
1 、关闭 root 密码登录,使用 SSH Key
2 、关闭 root 登录,使用常规用户 有需要的时候用 sudo
3 、使用 fail2ban
4 、系统和程序都随时更新升级到最新版本
5 、你网站千万千万不要用弱密码
9hills
2016-11-29 16:18:15 +08:00
如果服务器比较多,建议选择几台作为堡垒机,然后设置 iptables 规则,将 ssh 限制到堡垒机上

这样什么 fail2ban 都不需要装

堡垒机做 2 步认证,有现成的 PAM 模块
akira
2016-11-29 16:25:20 +08:00
@Showfom 说的很完整了,补充个
关闭所有不需要用到的端口和协议.

安骑士,安全狗这些 3 方的东西,用处没想象中那么大的
w6643
2016-11-29 16:55:21 +08:00
@TimePPT 好的,我研究下
w6643
2016-11-29 16:55:28 +08:00
w6643
2016-11-29 16:55:44 +08:00
@9hills 貌似有点高深
sammo
2016-11-29 16:59:02 +08:00
去看 digital ocean 的 vps tutorial 很详细一步步的啥都有
H3x
2016-11-29 17:22:33 +08:00
ixinshang
2016-11-29 17:24:40 +08:00
受益匪浅
ywgx
2016-11-29 17:49:21 +08:00
目前大多数中小企业在 云上,腾讯云,阿里云, AWS, 青云, ucloud

云服务商 这块没有提供好的解决方案, 阿里云 默认给机器 安装了一个 aegis ( 安骑士客户端,也就是云盾客户端),其效果就是 定期探测服务器上几个敏感日志 和 一些文件,发现异常短信通知客户,比较占资源,而且大部分业内人士,认为 阿里云做的非常不专业

提供一种比较科学的方案,供参考:

三种机器角色 (生产机器, login 入口机器, master 管控机器 [一般是 ansible 或者 salt-master ] )



1.首先根据网络区域,确定你们有几个网络节点, 然后每个节点,出一台 有公网的机器 作为该节点 入口 登录机器,出一台 机器 作为管控 master 机器, 该机器 默认可以免登录 所有 该节点生产机器

2. 上面入口 机器只允许 通过 ssh 可信认证登录 ,禁止密码,企业每个技术人员独立账号 (而且该机器禁止 非信任的源 IP 通过 root 登录),即该机器 对外 都是 只有普通登录权限 , 作为 内网入口跳板机 功能

入口确定了,就可以在 入口 截获每个账号的 IO 流,后续安全审计(什么时间,什么人,在哪台业务机器,做过什么操作)


3. 业务机器,限定只能通过 login(可以有多个 login 机器)入口 和 master 登录进来 , login 一般 开发人员登录, master 运维人员登录


4. 所有生产机器, 内网 10.0.0.0/8 不限制, 公网如果有,如需要,开辟几个自己需要的公开 (这块也是 通过 master 统一 模块化管控 iptables )



更多细节 看下 xabcloud.com 的设计
vultr
2016-11-29 18:00:14 +08:00
如果实在不放心,对系统的所有文件进行 sha256 运算,并且把结果存起来,每次对系统进行更改,对更新的文件也再算一次 sha256.哪天感觉系统被黑了,对一下所有文件的 sha256,你就知道了。

Showfom
2016-11-29 18:06:34 +08:00
@akira 一般 web 应用就开 22 80 443 哈哈
qcloud
2016-11-29 18:09:37 +08:00
只开 80 和 443 端口。。。。
TaMud
2016-11-29 18:32:51 +08:00
这是一个很宽泛的问题
就如问,你猜我啥时候上天见马克思,一样
TaMud
2016-11-29 18:33:09 +08:00
如果有人能给你答案,那这个人肯定是半瓶水
anjunecha
2016-11-29 19:05:25 +08:00
限定了只能用公司专线的固定 IP 登陆…
Vicer
2016-11-29 19:08:01 +08:00
2 楼一定有故事
snsd
2016-11-29 19:13:12 +08:00
有没有人说说 win 系统的服务器该怎么做安全
imnpc
2016-11-29 19:22:37 +08:00
大公司的堡垒机程序可能自己开发的 支持 Linux + win
我们一般用的可能只支持 Linux
安全狗这些不建议安装 因为策略调整可能会把自己挡在外面
按照二楼的教程
只开放需要的端口 其他全部关闭
用 SSHKEY 不开放密码登录 除非特别需要密码的 请更换端口 5 位数的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/324124

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX