请教一下大家,云服务器安全配置问题~

2023-09-05 11:29:05 +08:00
 banyejiu
背景:我属于是甲方公司,技术兼运维。开发公司技术不够,咱也不知道是关系还是啥。总共有三台服务器,
1 台服务器跑的是后端服务+nginx ;
1 台跑的是中间件:redis 、mysql 、elasticsearch ;
1 台跑的是聊天组件。
以上服务全都用 docker 跑的,没错~都是用 docker-compose 运行的。端口开发的一塌糊涂,ssh 、mysql 、redis 、elasticsearch 、kibana 端口全在公网暴露,其中 redis 、elasticsearch 、kibana 没有密码就可以连接。
我想给他重构一下,我技术也很菜,下面是我想的方案,想请大家给帮忙指教一下~

看了好多帖子,大部分都是说 VPN 和堡垒机什么的,我也不会用这些~
我想的安全配置是:
1. 公网端口全部禁用掉(只留 im 服务和 nginx 服务端口),其他全部走阿里云的主私网 IP172 。期间可能要远程连接 mysql ,如果开放 mysql 公网端口的话那就把自己的 IP 地址设置到网络安全组的白名单中;
2. ssh 禁止密码访问,设置秘钥访问。新建一个普通用户,执行命令用 sudo ;
3.ssh 公网端口设置 ip 白名单,然后用 fail2ban ,设置错误 3 次就 denyIp 。

以上就是我想的方案,水平有限,所以想请教一下大家~希望大家不吝赐教。公司有说堡垒机,但是我不会用。堡垒机有作用的话我会去学
408 次点击
所在节点    问与答
2 条回复
Tyuans
2023-09-05 12:31:17 +08:00
堡垒机更多的是对内吧,人员分权限,操作审计等。基本都不复杂。如果有条件,尽量弄一个堡垒机。
banyejiu
2023-09-05 12:57:21 +08:00
@Tyuans 好的谢谢~

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/971023

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX