最近想搭一个服务器 大佬们来指导下安全问题

2023-05-06 10:13:32 +08:00
 Befehishaber

1 、改 ssh 端口 2 、禁止 root 远程登录 3 、禁止除 xxx 用户的一切用户 su 4 、禁用密码使用密钥 5 、上 fail2ban 6 、使用 nginx 代理 7 、除 ssh 和服务端口其他端口全部关闭 8 、vm 自动快照

在做好上述步骤后 还会存在侵入和数据丢失风险吗

7222 次点击
所在节点    Java
59 条回复
InDom
2023-05-06 10:57:45 +08:00
只做了这么几件事:

ssh 端口改掉, 只允许密钥登陆, 所有服务跑在 docker 中.

除了 ssh 端口外只通过 docker 中的 nginx 暴露(docker 中的)端口.
icegaze
2023-05-06 11:06:40 +08:00
ssh 可以用敲端口方式来保护,
平时不会打开端口,
用的时候依次敲特定几个端口,
打开防火墙。

方便的狠。
Linken404
2023-05-06 11:19:13 +08:00
高位非常用 ssh 端口+仅密钥登录,基本上就能防范绝大部分常规扫描嗅探了,有时候不太重要的数据做好备份就好,搞太麻烦会大幅增加平时的维护成本也挺烦的。
fox0001
2023-05-06 11:20:39 +08:00
我们试过服务器做好了安全防护,最后问题出在部署的服务,其漏洞被利用了。
adoal
2023-05-06 11:22:52 +08:00
别忘了操作系统组件的安全更新。
0o0O0o0O0o
2023-05-06 11:28:13 +08:00
搜点 Linux server hardening 、security baseline 跟着抄抄、学学。除了 ssh 什么也别跑,服务全部放在 rootless container 里。

也就够了
liuxu
2023-05-06 11:33:43 +08:00
差不多了,还觉得不安全就上 selinux ,几年前写过 centos 安装后的安全配置,现在不建议 centos 了,但是相关的软件在 debian 也能装

https://www.liuquanhao.com/posts/Centos7%E4%BB%8E%E5%88%9D%E6%AC%A1%E7%99%BB%E9%99%86%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%88%B0%E5%AE%89%E8%A3%85nginx%E9%85%8D%E7%BD%AEhttps%E5%85%A8%E8%A7%A3/#5ssh%E9%85%8D%E7%BD%AE%E5%AE%8C%E6%88%90
xuanbg
2023-05-06 11:39:59 +08:00
无需如此麻烦,除 80/443 外,其他端口全 ip 白名单,再加上服务容器化就足够安全了。
xuanbg
2023-05-06 11:42:32 +08:00
@fox0001 所以服务要容器化!漏洞在所难免,容器化后通过漏洞入侵只能在你的容器里面转悠,无法造成更大的破坏。容器么,坏掉就坏掉,重建一个也就几秒钟的事情。
ZoeMak
2023-05-06 11:52:27 +08:00
试试 fail2ban ,ssh 登录密码设置复杂些,设置 1 小时内失败 1 次就 ban 一小时
chenPiMeiHaoChi
2023-05-06 11:57:12 +08:00
开个白名单就完了,没啥重要东西不用这么复杂
nba2k9
2023-05-06 13:07:32 +08:00
如果是 ecs 的话直接设置安全组白名单可以吗?
rm0gang0rf
2023-05-06 13:16:10 +08:00
所以 ddos 怎么防
alex8
2023-05-06 13:35:02 +08:00
fail2ban 对密钥登陆没作用,密钥证书除非泄漏 破解的可能性几乎不存在
taogen
2023-05-06 13:58:46 +08:00
@rm0gang0rf Cloudflare DDoS Protection
codewld
2023-05-06 14:06:13 +08:00
开 ssh ,让我上去看看
aaa5838769
2023-05-06 14:13:16 +08:00
key 登陆,制定 IP 访问。
HackerTerry
2023-05-06 14:13:29 +08:00
@gzlock 请问怎么配置?头一次听说 cf tunnel ,听起来很安全
hack
2023-05-06 14:15:47 +08:00
@xuanbg 容器也可以逃逸
Befehishaber
2023-05-06 14:27:05 +08:00
@xuanbg 有道理

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/937762

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX