前言
很多人看好一折购买云服务器的特价机会(参考阿里云,腾讯云的新用户特价活动,需要可以联系我QQ:453177660)。由于首购特价往往不到一折,所以看到就随手买了,然后发现运维服务器并不是一个轻松的事情,系统日志里大量存在来自陌生ip的登录失败日志。
今天分享下几个必要的上手防护措施。在分享之前,先总结一下为什么要防御:互联网公网环境,扫描器爆破器渗透器等各种自动化的工具都是肆意横行的。就是无人管制的公海地带,公网的环境可以说是非常恶劣的。因此我们使用带有公网ip的服务器发布项目的时候,就必须做好防御措施。
端口防护
端口是个逻辑概念,但是这个概念非常底层,任何服务的协议都需要依赖端口,协议也往往是tcp,udp这种4层通信的概念。一般来说每个网络服务都有自己的默认端口,所以服务器加固安全防御的第一步就是从端口开始。端口防护一句话来说就是:只对公网放行必要的端口!
按照用途,端口防护大致可以分为三个用途:
服务器管理用途:比如linux的22端口,windows的3389端口。这类端口,建议改成非默认端口,比如把22改为45622,把3389改为33689,尽量5位数,不建议高于65535。也就是说,从10000-65535之间取值。
数据服务用途:比如redis的6379,memcached的11211,MySql的3306,SqlServer的1433等。这种数据类型服务,一般来说建议直接不对公网开放,发布应用后直接内网甚至本机使用才是最安全的。如果实在需要,那么建议使用安全组配合IP白名单的策略对公网放行。
Web层应用:web发布,离不开80端口,那么很显然这个时候就必须对公网放行80端口了。其实如果配合CDN等产品使用的话,本站甚至提倡不使用80端口
密码防护
既然系统对公网放开,那么只要任何公网能登录的地方,都首先要有强密码的防护,让“密码破解程序”工作的难度大一点。并且配合定期更换密码,来打破暴力破解器的“字典顺序”。
失败策略
如果有条件的话,可以考虑下失败次数禁止策略。比如windows通过组策略,设置连续失败N次的延后重试。Linux下有fail2ban服务可以配合。不过这类防御也是有着自己弱点的:那就是仅仅针对来自同一个ip,或者针对同一个用户名等等。不能单独依赖,至少结合下前面说的修改成非默认端口
原文地址:
https://www.opengps.cn/Blog/View.aspx?id=826
文章的更新编辑依此链接为准。欢迎关注源站原创文章!