最近想搭一个服务器大佬们来指导下安全问题

359 天前

Befehishaber

1 、改 ssh 端口 2 、禁止 root 远程登录 3 、禁止除 xxx 用户的一切用户 su 4 、禁用密码使用密钥 5 、上 fail2ban 6 、使用 nginx 代理 7 、除 ssh 和服务端口其他端口全部关闭 8 、vm 自动快照

在做好上述步骤后还会存在侵入和数据丢失风险吗

7188 次点击

所在节点

59 条回复

mohumohu

359 天前

你不如搭个 zerotier ，一个端口都不用开

cwcc

359 天前

没有绝对的安全，只有降低风险的措施。所以你说还会存在侵入和数据丢失风险的问题，答案永远是否定的。你能做的只有加强安全检测和防护，以及数据备份。你提到的几个措施都是很有效的防范措施，但不能保证服务器不出事。另外，对于开公网的服务器，如果业务很重要的话，也要在外面套 IPS/WAF 等措施。

cwcc

359 天前

@cwcc 修正语病：肯定

taogen

359 天前

可以看下我之前写的一篇博客
https://taogenjia.com/2019/10/09/%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%9F%BA%E6%9C%AC%E7%9A%84%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%98%B2%E6%8A%A4/

gzlock

359 天前

其实用外网的 vps+cf tunnel 的可行性怎么样？

seers

359 天前

我有台公网小鸡跑了三四年了都没被黑过，就关掉了密码登陆用 key

mineralsalt

359 天前

只要把 root 密码搞复杂些, 就完全够了

bjzhush

359 天前

除了防攻击，还要做定时数据备份，把万一被黑或者其它意外之后丢失数据的损失降低的最小

defunct9

359 天前

裸奔是王道

poyanhu

359 天前

换个 ssh 端口，用证书登陆。其他无所谓了。

Hack3rHan

359 天前

其实你自己用的话，你只需要关注对外暴露的服务就可以了，改 SSH 端口都多余的，减小不必要的暴露面，保证运行的服务没有已知漏洞就可以了。公司服务器的话，总体上也是类似的思路，要是不安心，应该不难找到一些配置规范相关文档，参考着来。

Befehishaber

359 天前

@cwcc 哈哈哈

Befehishaber

359 天前

@gzlock 不知道没听别人谈过呢

iyiluo

359 天前

只要服务器提供了对外服务，就存在入侵的风险，因为软件 bug 是永远无法消灭的

Befehishaber

359 天前

@seers 嗯嗯理论上是这样但是一直被扫描还是会影响性能的

Befehishaber

359 天前

@taogen 很全面应该够大部分人用了

Moofeng

359 天前

一般服务器最主要的风险就是暴露在外的服务，其他的不用过多担心，但问题就是时间一长，很多人就疏忽了对自己这些服务的管理。

benedict00

359 天前

有时间可看看这个，算是安全基线的东西，有些参考价值。https://learn.cisecurity.org/benchmarks

bingfengfeifei

359 天前

被攻破的基本上都是弱密码或者有漏洞的

benedict00

359 天前

@benedict00 https://downloads.cisecurity.org/#/

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/937762

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX