最近想搭一个服务器 大佬们来指导下安全问题
source link: https://www.v2ex.com/t/937762
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
1 、改 ssh 端口 2 、禁止 root 远程登录 3 、禁止除 xxx 用户的一切用户 su 4 、禁用密码使用密钥 5 、上 fail2ban 6 、使用 nginx 代理 7 、除 ssh 和服务端口其他端口全部关闭 8 、vm 自动快照
在做好上述步骤后 还会存在侵入和数据丢失风险吗
 |
mohumohu 13 小时 35 分钟前 你不如搭个 zerotier ,一个端口都不用开
|
 |
cwcc 13 小时 34 分钟前 没有绝对的安全,只有降低风险的措施。所以你说还会存在侵入和数据丢失风险的问题,答案永远是否定的。你能做的只有加强安全检测和防护,以及数据备份。你提到的几个措施都是很有效的防范措施,但不能保证服务器不出事。另外,对于开公网的服务器,如果业务很重要的话,也要在外面套 IPS/WAF 等措施。
|
1 |
gzlock 13 小时 31 分钟前 其实用外网的 vps+cf tunnel 的可行性怎么样?
|
 |
seers 13 小时 30 分钟前 via Android 我有台公网小鸡跑了三四年了都没被黑过,就关掉了密码登陆用 key
|
 |
mineralsalt 13 小时 27 分钟前 只要把 root 密码搞复杂些, 就完全够了
|
 |
bjzhush 13 小时 22 分钟前 除了防攻击,还要做定时数据备份,把万一被黑或者其它意外之后丢失数据的损失降低的最小
|
 |
defunct9 13 小时 21 分钟前 裸奔是王道
|
 |
poyanhu 13 小时 18 分钟前 换个 ssh 端口,用证书登陆。其他无所谓了。
|
 |
Hack3rHan 13 小时 17 分钟前 其实你自己用的话,你只需要关注对外暴露的服务就可以了,改 SSH 端口都多余的,减小不必要的暴露面,保证运行的服务没有已知漏洞就可以了。公司服务器的话,总体上也是类似的思路,要是不安心,应该不难找到一些配置规范相关文档,参考着来。
|
 |
Befehishaber 13 小时 15 分钟前 @cwcc 哈哈哈
|
|
Befehishaber 13 小时 14 分钟前 @gzlock 不知道 没听别人谈过呢
|
 |
iyiluo 13 小时 14 分钟前 只要服务器提供了对外服务,就存在入侵的风险,因为软件 bug 是永远无法消灭的
|
|
Befehishaber 13 小时 14 分钟前 @seers 嗯嗯 理论上是这样 但是一直被扫描还是会影响性能的
|
|
Befehishaber 13 小时 11 分钟前 @taogen 很全面 应该够大部分人用了
|
 |
Moofeng 13 小时 1 分钟前 一般服务器最主要的风险就是暴露在外的服务,其他的不用过多担心,但问题就是时间一长,很多人就疏忽了对自己这些服务的管理。
|
 |
bingfengfeifei 12 小时 56 分钟前 被攻破的基本上都是弱密码或者有漏洞的
|
 |
InDom 12 小时 53 分钟前 只做了这么几件事:
ssh 端口改掉, 只允许密钥登陆, 所有服务跑在 docker 中. 除了 ssh 端口外只通过 docker 中的 nginx 暴露(docker 中的)端口. |
 |
icegaze 12 小时 44 分钟前 via Android ssh 可以用敲端口方式来保护,
平时不会打开端口, 用的时候依次敲特定几个端口, 打开防火墙。 方便的狠。 |
 |
Linken404 12 小时 31 分钟前 高位非常用 ssh 端口+仅密钥登录,基本上就能防范绝大部分常规扫描嗅探了,有时候不太重要的数据做好备份就好,搞太麻烦会大幅增加平时的维护成本也挺烦的。
|
 |
fox0001 12 小时 30 分钟前 via Android 我们试过服务器做好了安全防护,最后问题出在部署的服务,其漏洞被利用了。
|
 |
adoal 12 小时 28 分钟前 别忘了操作系统组件的安全更新。
|
 |
0o0O0o0O0o 12 小时 22 分钟前 via iPhone 搜点 Linux server hardening 、security baseline 跟着抄抄、学学。除了 ssh 什么也别跑,服务全部放在 rootless container 里。
也就够了 |
 |
xuanbg 12 小时 11 分钟前 无需如此麻烦,除 80/443 外,其他端口全 ip 白名单,再加上服务容器化就足够安全了。
|
 |
ZoeMak 11 小时 58 分钟前 试试 fail2ban ,ssh 登录密码设置复杂些,设置 1 小时内失败 1 次就 ban 一小时
|
 |
chenPiMeiHaoChi 11 小时 53 分钟前 开个白名单就完了,没啥重要东西不用这么复杂
|
 |
nba2k9 10 小时 43 分钟前 如果是 ecs 的话直接设置安全组白名单可以吗?
|
 |
rm0gang0rf 10 小时 34 分钟前 所以 ddos 怎么防
|
 |
alex8 10 小时 16 分钟前 via iPhone fail2ban 对密钥登陆没作用,密钥证书除非泄漏 破解的可能性几乎不存在
|
 |
taogen 9 小时 52 分钟前 @rm0gang0rf Cloudflare DDoS Protection
|
 |
codewld 9 小时 44 分钟前 开 ssh ,让我上去看看
|
 |
aaa5838769 9 小时 37 分钟前 key 登陆,制定 IP 访问。
|
 |
HackerTerry 9 小时 37 分钟前 @gzlock 请问怎么配置?头一次听说 cf tunnel ,听起来很安全
|
 |
benjaminliangcom 9 小时 13 分钟前 |
 |
yulgang 8 小时 7 分钟前 密码发上来看看
|
 |
yxzblue 8 小时 1 分钟前 别在服务器上面搭网站,就没有被黑的风险!
|
 |
crazyweeds 7 小时 45 分钟前 还是有风险,最好只给指定 IP 开放 SSH 。
剩下的风险项不限于,你使用的服务有安全漏洞或者不安全的配置,比较容易中招的,比如 Redis 。 还有,你本地可能有木马程序。。 |
 |
jalena 7 小时 2 分钟前 你在怕什么!!!!!!!!!!!!我的博客服务器裸奔 7 年了。。。
|
 |
jackmod 6 小时 57 分钟前 最开始先通过控制台修改 ssh 端口。
vps 提供商有防火墙的话,全禁,只允许本机 IP 访问修改后的 ssh 端口。 之后是创建普通用户,删除 root 的 ssh ,必要时通过 su 切换。 80 和 443 也没必要开,通过 cf tunnel 反向暴露。 运行的服务放在 docker 里面。 docker 使用 rootless 版本。 |
 |
x77 6 小时 45 分钟前 感觉 1 、2 、3 、5 、6 给自己造成的麻烦大于安全,还不如限制登录的 IP ,只有你自己 IP 能登录
|
 |
Scen 6 小时 43 分钟前 说的这么详细了,不如问问 chatgpt
|
 |
EvanQu 4 小时 15 分钟前 只改了端口+ssl
其他基本属于裸奔 |
 |
caomingjun 3 小时 24 分钟前 via Android 借楼问下,我长期设置只允许密钥登录,但是从来没改过 SSH 端口,会存在什么风险吗?
|
 |
bugmakerxs 3 小时 0 分钟前 提供一个 vpn 思路,wireguard 固定端口+固定 ip 允许登录就好。
|
|
gzlock 2 小时 53 分钟前 @HackerTerry #38 我家里尝鲜用的话,就是域名的 dns 绑定到 cf 那里之后就可以用 tunnel 服务了,也不用怎么配置啊,先装 cf tunnel(在 github 开源的,有安装方法),从 cli 启动 tunnel 后要求你登录 cf 账号,登录之后就去 cf tunnel 网页绑定机器就可以了
|
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK