服务器安全请教

2020-09-09 20:47:40 +08:00
 ob
不懂就问,目前有一台服务器存放一些对我很重要的数据,涉及到资金安全。
所以在安全这方面请教个各位还有什么需要做的。
环境:
阿里云服务器
系统:CentOS Linux release 7.8.2003
装的服务:mysql, redis, node
目前做的措施:
root 只允许 ssh 连接,禁止密码登录
mysql 开了 3306 端口,禁止 root 远程访问,新建了一个用户名
redis 设置密码,bind 本地 IP,外部不能连接
目前阿里云防火墙允许的端口:22,3306,以及一个 web 服务端口
系统自带防火墙暂时没开
目前就做了这些简单的,上面几个服务的默认端口有必要改吗?
请教下还有没有什么地方需要注意的?
谢谢各位。
6854 次点击
所在节点    Linux
54 条回复
594duck
2020-09-10 08:26:52 +08:00
你克隆 一台服务器,然后把 IP 暴露出来,我们帮你看看不就知道了。
ob
2020-09-10 08:37:32 +08:00
谢谢各位,上面提到的安全措施都很有帮助,这边会慢慢把该加防的加一下。
clf
2020-09-10 08:44:17 +08:00
我之前是用 docker 搭的环境,内部的所有容器,除了 nginx 对外开放端口,其它的数据库什么的全部是走的 docker 网络,并且限制本地连接。ssh 仅允许指定 IP 连接,端口也改了。
xuanbg
2020-09-10 08:45:43 +08:00
阿里云安全组对非 80/443 端口的访问做 IP 白名单!!!
ETiV
2020-09-10 08:50:28 +08:00
LS 们说的都是运行时环境的安全

数据安全也不能忘,记得时常备份数据……
随时准备好机器磁盘挂掉的应对方案

再就是你自己阿里云账号密码的保管
nicevar
2020-09-10 09:01:47 +08:00
ssh 除了限制用户和尝试次数这些,端口非常有必要换,为什么呢,因为虽然换端口对于懂入侵的人来说没什么用,但是可以躲避大量自动扫描程序不断的暴力尝试,这种程序在代码里面都是写死了的默认端口
MySQL 的端口无论如何我都不建议开启外网访问,你进行再多的安全配置,一个未公开的漏洞就把你搞定了,而这种事在过去二十年里我遇到了好几次
ytmsdy
2020-09-10 09:16:51 +08:00
22 端口换成 3389
3306 端口换成 1433
把 web 应用运行的权限调整成 user
把重要文件文件夹的权限调整成只有 root 可以浏览,千万别把 web 的应用文件和重要文件放一起。
你现在最大的问题是 web 应用的安全性,如果有人入侵了,丢一个 webshell 上去。这些防火墙的配置都白瞎!
hijoker
2020-09-10 09:27:42 +08:00
ssh 不要 root 登录,不要使用密码登录,使用公钥, 任何软件不要使用默认端口,fail2ban 或者 denyhost 用起来,能不把端口暴露在公网就不要暴露
l4ever
2020-09-10 09:32:05 +08:00
搞跳板机, ssh 只允许跳板机连接
l4ever
2020-09-10 09:32:41 +08:00
ssh 还可以搞两步验证, 或者 port knocking
anUglyDog
2020-09-10 09:41:33 +08:00
zarte
2020-09-10 09:44:42 +08:00
ssh 端口改了就算用密码登录密码复杂点就 ok:这个就不信有人人进。
mysql 这个没人硬破密码复杂点。
web 这个危险,主要是自己写的代码漏洞可以自己扫扫看。
zhenjiangidc
2020-09-10 09:54:09 +08:00
做了 8 年的,IDC,,, 朋友,,
如果只要你的业务对外,就没有绝对的安全。
最重要的 不要把重要的数据 只放一台设备上。
8520ccc
2020-09-10 11:41:50 +08:00
如果数据库不允许远程机器链接那大可把端口关掉~就算有需求你也可以用阿里云安全组开 IP 白名单~基本没啥问题了
jorneyr
2020-09-10 11:43:04 +08:00
目前阿里云防火墙允许的端口:3306
ob
2020-09-10 11:47:49 +08:00
@ytmsdy 你这个换端口的思路不错,哈哈,专门拿来误导。
zc1249274251
2020-09-10 13:31:32 +08:00
鸡蛋不要放在一个篮子里 必啥都重要
light010
2020-09-10 13:31:46 +08:00
ip 白名单
nicevar
2020-09-10 13:32:58 +08:00
@ob 其实换端口没什么用,掩耳盗铃的意思,因为端口刺探的时候会返回信息,直接能判断了,你尝试 telnet 一下 MySQL 的端口就知道了
519718366
2020-09-10 13:59:49 +08:00
个人用的服务器,资金安全?服务器里存了自己的各种账号密码?🤔

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/705603

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX