关于服务器的安全,是不是保证服务器 ssh 采用密钥登录,只开放特定端口就能保证服务器的安全了?

2018-07-03 17:53:02 +08:00
 strict
因为业务需要,很多的敏感信息都存放在服务器上,比如 ETH 的密钥等等
所以一旦服务器被攻了,损失巨大
目前已采取的措施有
1 ssh 密钥登录
2 开放特定端口
3 数据库设置白名单

本人后端,公司几台重要服务器都是我在管
看到很多人采用类似 redis 降权攻击什么的,不是很懂,所以对于服务器安全很是没底,在此请教各位
3938 次点击
所在节点    信息安全
9 条回复
Loyalsoldier
2018-07-03 18:00:52 +08:00
1. 在安全组 /防火墙的入站规则里只放行需要的端口,其他一律拒绝
2. SSH 服务端不用 22 默认端口
3. 关闭 root 账号的密码登录功能,并且不要用 root 账号进行日常操作
4. 知道你用的软件的正确配置方法
5. 如果服务器上有什么系统的话,当然还需要保证那些系统也是安全的……
gclove
2018-07-03 18:08:40 +08:00
保证安全这是不存在的,只有断网的电脑才能保证安全

数字货币只有使用冷钱包才能保证安全

密钥服务器单独存放
gclove
2018-07-03 18:09:08 +08:00
不过你这个已经相对安全了
daigouspy
2018-07-03 18:11:12 +08:00
设一个 15 位以上的密码,不需要很复杂,神仙也攻不进去。
metrxqin
2018-07-03 18:46:30 +08:00
考虑在 bashrc 中加入短信提醒,密钥放在另一台服务器,两台服务器之间只交换加密或解密完的数据。
wenzhoou
2018-07-03 18:58:54 +08:00
@metrxqin 既然可以短信提醒,那还不如做个双重 filter 呢。
另外内部服务什么的不好弄啊。
strict
2018-07-03 19:24:28 +08:00
@gclove 密钥单独存放的话,那又通过哪种方式来获取密钥,这样会不会又面临新的安全问题呢?
LazyZhu
2018-07-03 19:35:32 +08:00
@strict
KeePass + KeeAgent 了解下
yw9381
2018-07-04 05:08:48 +08:00
这么几个问题
1.钱包密钥本身就不应该放在有业务的服务器上
2. ssh 关闭密码。仅使用私钥登陆就没问题
3. 特定端口的安全性取决于你的服务是否有锅。比方说你只开了 80 和 22。结果 80 的站有严重的安全问题。一样 gg
4. Redis 那个问题。如果你没用 redis 就和你没关系。如果你用了。htop 看看 redis 衍生出来的子进程权限不是 root 就行
5.数据库这个。如果是 mysql 且是用包管理安装的话。理论上没什么问题。而且你还做了白名单
6. 安全是一个木桶效应问题。具体问题要具体对待。一蹴而就是不行的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/467857

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX