国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

服務器安全基礎指南

godiscoder / 762人閱讀

摘要:安裝打開配置文件,進行配置寫入到這里,就是我個人從上次被黑當中總結的一些基本的服務器安全,而至于群里大神說的跳板機的方案,容我再消化消化再嘗試部署起來。總結服務一些基本的安全配置得跟上。服務器一旦被入侵,不急。

首先,VPS 服務器被黑怎么辦?

第一, 10秒之內登錄你的 VPS 提供商賬號,關機。
第二,切斷被黑機器的外網。
第三,在相同的 VPS 提供商重開一臺機器,內網登錄,備份重要的信息
第四,遷移數據
第五,報廢之前被黑的 VPS

最近正好接觸到一次服務器由于開啟redis但沒注意安全設置從而被提權的入侵的事件,以下是自己做的一些小總結。

此文章適用于系統版本為:Ubuntu 14.04 64

Nginx 配置:

升級到穩定版

sudo apt-get update && sudo apt-get upgrade

sudo apt-get upgrade nginx

Nginx 目前在 Ubuntu 14.04 中穩定版本號是 1.4.6

可以通過在 VPS 上執行以下 curl 命令來查看信息:

curl -I http://localhost

返回大概是:

HTTP/1.1 200 OK
Server: nginx/1.4.6 (Ubuntu)

這里直接顯示了 Nginx 的版本號,可以通過配置隱藏:

sudo vi /etc/nginx/nginx.conf

http 部分添加:

http {
        ##
        # Basic Settings
        ##
        server_tokens off;
}

重啟 Nginx

sudo service nginx reload

這樣再次執行 curl 就可以看到隱藏了 Nginx 的版本號了:

curl -I http://localhost
HTTP/1.1 200 OK
Server: nginx
...
X-Powered-By: PHP/5.5.9-1ubuntu4.14
...

注意到上面 X-Powered-By: PHP/5.5.9-1ubuntu4.14 這一行暴露了 PHP 的版本號,所以我們來配置 php.ini 來隱藏之,即在 php.ini 文件中設置:

expose_php = Off

如果你的服務器的 php.ini 默認就隱藏了版本,那么恭喜你。

SSH 配置:

配置 ssh ,比如關掉密碼認證式登錄等:

sudo vi /etc/ssh/sshd_config 

打開之后配置:

# 不允許空密碼
PermitEmptyPasswords no
# 關閉密碼驗證登錄,前提是你已經使用了 ssh 密鑰驗證方式登錄
PasswordAuthentication no
# 如果你在服務器上手動添加了用戶并將用戶分配到 root 用戶組,可以考慮禁止root用戶登錄
PermitRootLogin no

重啟 ssh

sudo service ssh restart
iptables 配置

iptables 提供了一種可靈活配置安全策略防火墻框架,具體的原理可以看這篇文章:http://seanlook.com/2014/02/23/iptables-understand/

博主寫文章很認真,推薦一下

開始之前,可以通過以下命令全新配置 iptables

iptables -F

注意上述命令會將你之前自己設置的過濾規則清空。

你可以查看 iptables 的相關資料,一條一條添加安全規則,也可以這樣:

sudo vi /etc/iptables.up.rules

添加內容:

*filter

# Accepts all established inbound connections
 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
 -A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
 -A INPUT -p tcp --dport 443 -j ACCEPT
 -A INPUT -p tcp --dport 80 -j ACCEPT
# Allows SSH connections for script kiddies
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
 -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.

# Allow ping
 -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# log iptables denied calls (access via "dmesg" command)
 -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Reject all other inbound - default deny unless explicitly allowed policy:
 -A INPUT -j REJECT
 -A FORWARD -j REJECT

COMMIT

其中非常值得注意的是這三條:

 # 443 通常是 ssl 的端口,如果 VPS 是作為一臺web應用的服務器并且啟用 https,你需要這個
 -A INPUT -p tcp --dport 443 -j ACCEPT
 # 80 端口就不多說了
 -A INPUT -p tcp --dport 80 -j ACCEPT
 # 這是 ssh 默認的 22 端口,開放給自己登錄使用
 -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

注意這里的 22 端口,你可以修改為其他的端口,并且關閉 22 端口。更有一種解決方案是:將生產機器 ssh 端口完全關閉,用一臺同一子網下的跳板機,通過來登錄目標生產機器。

其他的配置的話,你需要根據你的業務來具體配置相對應的安全策略。

寫好這些配置項之后,告訴 iptables 你的配置在哪:

sudo iptables-restore < /etc/iptables.up.rules

創建 shell 腳本來開機自啟動:

sudo vi /etc/network/if-up.d/iptables

添加內容:

#!/bin/sh
iptables-restore /etc/iptables.up.rules

給以可執行的權限:

chmod +x /etc/network/if-up.d/iptables

到這里,iptables 的基礎設置就OK了。

配置 Fail2Ban

Fail2Ban 的工作原理是:通過監控系統的日志文件,并根據檢測到的任何可疑的行為自動觸發不同的防御動作,如將產生可疑行為的目標 ip 鎖定等。

安裝:

sudo apt-get install fail2ban

打開配置文件,進行配置:

sudo vi /etc/fail2ban/jail.conf

寫入:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 3600
maxretry = 3
destemail = email@yourdomain.com
action = %(action_mw)s

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

到這里,就是我個人從上次被黑當中總結的一些基本的服務器安全,而至于群里 @little 大神說的跳板機的方案,容我再消化消化再嘗試部署起來。

總結

1.服務一些基本的安全配置得跟上。
2.關注安全圈的新聞和動態,及時升級軟件和修復相關安全漏洞。
3.服務器上的服務,用哪個就看哪個,不用的堅決關掉。
4.服務器一旦被入侵,不急。關機,斷網,備份,遷移,舍棄。

記住:The less information you provide, the more secure you are .

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11182.html

相關文章

  • 《5G網絡云基礎設施安全指南》第I部分發布

    摘要:美國國家安全局和網絡安全與基礎設施安全局近期發布了網絡云基礎設施安全指南第部分防止和檢測橫向移動以下簡稱指南。如開篇所述,企業組織應積極使用微分段,以最小化環境中任何特定網絡分段危害的爆炸半徑。盡管云計算將在5G網絡的成功落地中發揮著關鍵作用,但任何新技術的應用都會帶來安全問題,云計算也不例外。美國國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)近期發布了《5G網絡云基礎設施安全指...

    XBaron 評論0 收藏0
  • 《推動企業上云實施指南(2018-2020年)》解讀

    摘要:日前,工業和信息化部印發了推動企業上云實施指南年以下簡稱實施指南,指導和促進企業運用云計算加快數字化網絡化智能化轉型升級。穩妥有序實施上云。為更好推進企業上云工作,實施指南提出了相關政策措施。8月10日,信息化和軟件服務業司發布了《推動企業上云實施指南(2018-2020年)》(以下簡稱實施指南)解讀。《實施指南》顯示,云計算是推動信息技術能力實現按需供給、提高信息化建設利用水平的新技術、新...

    DevTalking 評論0 收藏0
  • 美國聯邦政府云計算安全策略分析

    摘要:在美國聯邦政府大力推進云計算的同時,美國政府大力研究和制定云計算安全策略。年月美國啟動了政府范圍的云計算解決方案的安全認證認可過程的開發。 引言 由于云計算在經濟、敏捷和創新方面的突出特點,受到美國政府高度重視。早在2009 年1 月, 美國行政管理和預算局(OMB)就開始關注云計算和虛擬化。3 月維維克·昆德拉被任命為聯邦政府首席信息官委員會(CIOC)的首席信息官后即表示將推...

    laznrbfe 評論0 收藏0
  • 混合云存儲的企業指南

    摘要:如果還沒有,混合云存儲很可能成為企業的默認選擇。此外,大多數主要的云存儲提供商都在為企業提供指導,將企業的產品與適當的安全和合規控制協調一致,以確保企業不會違反行業法規。如今,混合云的存儲量不斷增長這并不奇怪。混合云本身是一種越來越流行的部署IT服務的方法。事實上,根據調研機構Gartner預測,到2020年,90%的企業將使用混合基礎設施的管理功能。這對企業的數據存儲策略意味著什么?首先,...

    chengjianhua 評論0 收藏0
  • 如何在云計算平臺使用R語言編程的快速入門指南

    摘要:第二排柱狀圖顯示,云計算的計算量正在逐年增長。如何在云端使用語言編程登陸亞馬遜云計算平臺的控制界面點擊運行實例選擇你即將遠程訪問的虛擬機的操作系統,這里我們選擇了亞馬遜選擇實例類型需要選擇內存大小,同時比較不同的價格創建安全密鑰。 云計算正逐步成為適用于超出筆記本或臺式機處理能力的問題或數據的一種自然延伸。然而,對于完全沒有基礎的初學者來說,學習使用云計算平臺會顯得比實際更難。在本文中,我們...

    kamushin233 評論0 收藏0

發表評論

0條評論

godiscoder

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<