关于个人服务器安全

2020-08-04 21:33:11 +08:00
 devliu1

暴露在公网上的个人服务器,怎么样才能提高安全性?

目前的办法是 port knocking + 蜜罐 + vpn 。但是 使用 port knocking 如果忘记了关怎么办😂

想到了本地的安全软件,可以做到发起或传入连接时通过 GUI 进行控制。 服务端有什么现成的系统或者 API,可以做到一个连接传入时,通过程序控制吗(比如发邮件,邮件附带一个 url 对服务器进行控制,允许当前 IP 连入)

4306 次点击
所在节点    信息安全
30 条回复
loading
2020-08-04 21:36:57 +08:00
端口全关,只留 ssh 禁用密码登录,基本就差不多了吧。
loading
2020-08-04 21:38:20 +08:00
还有,别部署热门程序,例如帝国 cms,哈哈。
devliu1
2020-08-04 21:44:28 +08:00
@loading 嗯,基本的安全措施还是可以做的,主要是想避免被扫
mikeguan
2020-08-04 22:11:23 +08:00
这个 port knocking 忘记关是什么意思? 这个不是一定时间后失效吗?是指错误的把端口扫描的 IP 加白了吗?这个好像也可以通过几个端口不同顺序来解决
locoz
2020-08-04 22:14:11 +08:00
端口全关,用 zerotier 或者是直接搞个 VPN,通过隧道的方式连上去操作。
opengps
2020-08-04 22:16:40 +08:00
白名单是个好东西
noclin
2020-08-04 22:19:13 +08:00
@mikeguan 比如我使用一个 seq 调用 iptable 开放某个 IP,可以做到让它在一定时间之后再调用 iptable 关闭访问权限吗
noclin
2020-08-04 22:21:02 +08:00
@mikeguan 看到过类似的方案,但是没有配置过
ly4572615
2020-08-04 22:23:06 +08:00
改端口,关密码登录,denyhosts,有固定 ip 加个防火墙,差不多了
devliu1
2020-08-04 22:30:06 +08:00
@mikeguan 和#7 说的是一样的,我测试看看


@opengps @ly4572615 但是问题在于需要通过一种方法动态修改白名单,和 /t/684494 说的差不多,他的做法是通过一台公网服务器主动请求修改白名单。能不能有人连接时产生一个 callback,通知用户进行添加到白名单这个操作,同时可以看到有人在尝试连接。
updateing
2020-08-04 22:32:24 +08:00
@devliu1 如果是使用 ipset 做的 port knocking 的白名单,可以用 ipset 自带的 timeout 功能实现定时解除。
devliu1
2020-08-04 22:33:06 +08:00
@locoz 就是 VPN 之外再套一层,会不会很多余
CallMeReznov
2020-08-04 22:41:37 +08:00
通过防火墙的 API 开放你需要访问的服务器端口
前几年做游戏的时候被人 CC 就是这样的,为了要区分正常玩家与恶意攻击代理,正常的客户端请求那个地址后会才可以正常进入,有效的过滤了一批攻击者.
CallMeReznov
2020-08-04 22:42:40 +08:00
jumpserver 或者 frp 也可以吧.
love
2020-08-04 22:48:00 +08:00
放心,个人 VPS 就别安全强迫症了,基本的通用软件 ssh/mail/web 服务器软件不太能被爆(除非用了弱密码),要爆也轮不到你这种没价值的
devliu1
2020-08-04 22:48:14 +08:00
@CallMeReznov 根据上面大佬的回复,是可以通过 port knocking + iptable 做到的,frp 的话也可以使用 stcp+socks5 代理做,似乎性能有点低。

不知道 #10 提到的能不能做到
devliu1
2020-08-04 22:50:44 +08:00
@love 也对啊 😄确实是强迫症
locoz
2020-08-04 22:55:39 +08:00
@devliu1 #12 不是 VPN 外再套一层啊,zerotier 或 VPN,选一个😂。你现在有 VPN 就直接只留 VPN,其他端口全关就行了。
locoz
2020-08-04 22:57:50 +08:00
或者更暴力一点,通过第三方服务通知你的服务器,让它主动连接你本地的 VPN 之类的建立连接,这样就一个端口都不用开了…
flypei
2020-08-04 22:59:06 +08:00
我自己用的基本就是裸奔,只修改了 ssh 端口,其他的懒的搞。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/695644

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX