关于个人服务器安全

2020-08-04 21:33:11 +08:00
 devliu1

暴露在公网上的个人服务器,怎么样才能提高安全性?

目前的办法是 port knocking + 蜜罐 + vpn 。但是 使用 port knocking 如果忘记了关怎么办😂

想到了本地的安全软件,可以做到发起或传入连接时通过 GUI 进行控制。 服务端有什么现成的系统或者 API,可以做到一个连接传入时,通过程序控制吗(比如发邮件,邮件附带一个 url 对服务器进行控制,允许当前 IP 连入)

4308 次点击
所在节点    信息安全
30 条回复
locoz
2020-08-04 23:00:11 +08:00
还有个直接点的办法,写个程序调用云厂商的 SDK 或防火墙开启你需要的端口,并把当前本地 IP 设为白名单,然后再加上关闭和移除白名单的操作,实现一键开关 hhh 。
CallMeReznov
2020-08-04 23:09:19 +08:00
另外如果你是云平台,可以利用他们自己的防火墙
比如阿里云,直接用 aliyuncli 工具控制安全组,要用的时候添加自己 IP 为白名单,就算不关闭也无所谓,总不可能攻击者会使用你的 IP 吧?
xingyue
2020-08-04 23:41:49 +08:00
@locoz 请问为什么要端口全关的呢,那些没用到的端口会引起什么问题吗?看到一楼也是全关这个观点,图方便安全组全开的我开始慌了~
jilu171990
2020-08-05 02:55:52 +08:00
都已经是个人服务器了,如果是被攻破就会被抓的话,那最简单靠谱的就是开防火墙,只允许跳板主机访问 ssh 就结束了,其他的都是多余的举动。被攻破不会被抓的话就装个 fail2ban 就结束了
devliu1
2020-08-05 08:56:31 +08:00
@locoz
@CallMeReznov 动态修改防火墙,iptable 和云服务器 API 其实都可以做到。我还是想找找能不能在建立连接时,产生一个 callback 给我的脚本,我的脚本再发送邮件,让我可以感知到有人在尝试建立连接,并远程修改白名单。攻击者使用我的 IP 确实也不现实。


@flypei @xingyue 舍弃便利去换取一点点安全感吧


@jilu171990 把 fail2ban 忘记了,那基本上是可以了



总结一下,

1. ipset + iptable 做 port knocking 。 或者通过另一个服务器以某种形式动态调用 iptable 或云服务器 API

2. VPN / zerotier / frp (stcp + socks) / jumpserver

3. fail2ban 监控
takemeaway
2020-08-05 09:16:53 +08:00
你们这些都只能防君子,有个漏洞随便入侵。
whileFalse
2020-08-05 09:36:44 +08:00
最简单的是在上面部署一个带密码的 ss server
其他端口全用防火墙关掉
devliu1
2020-08-05 12:40:21 +08:00
@takemeaway 是的,这也是为什么我发帖提问
xfelix
2020-08-19 11:11:35 +08:00
黑客来搞你的机器也是要花时间的。所以把基础的防护做好,及时打安全补丁,避免被扫到就行。
如果投入与产出不成比例,他们可没功夫跟你耗着。除非有其他原因被他们针对了,那再怎么防也不一定防得住。
devliu1
2020-08-21 11:20:21 +08:00
@xfelix 哈哈 确实是一个成本博弈的事情

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/695644

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX