摘要:安裝打開配置文件,進行配置寫入到這里,就是我個人從上次被黑當中總結(jié)的一些基本的服務(wù)器安全,而至于群里大神說的跳板機的方案,容我再消化消化再嘗試部署起來??偨Y(jié)服務(wù)一些基本的安全配置得跟上。服務(wù)器一旦被入侵,不急。
首先,VPS 服務(wù)器被黑怎么辦?
第一, 10秒之內(nèi)登錄你的 VPS 提供商賬號,關(guān)機。
第二,切斷被黑機器的外網(wǎng)。
第三,在相同的 VPS 提供商重開一臺機器,內(nèi)網(wǎng)登錄,備份重要的信息
第四,遷移數(shù)據(jù)
第五,報廢之前被黑的 VPS
最近正好接觸到一次服務(wù)器由于開啟redis但沒注意安全設(shè)置從而被提權(quán)的入侵的事件,以下是自己做的一些小總結(jié)。
Nginx 配置:此文章適用于系統(tǒng)版本為:Ubuntu 14.04 64位
升級到穩(wěn)定版
sudo apt-get update && sudo apt-get upgrade sudo apt-get upgrade nginx
Nginx 目前在 Ubuntu 14.04 中穩(wěn)定版本號是 1.4.6
可以通過在 VPS 上執(zhí)行以下 curl 命令來查看信息:
curl -I http://localhost
返回大概是:
HTTP/1.1 200 OK Server: nginx/1.4.6 (Ubuntu)
這里直接顯示了 Nginx 的版本號,可以通過配置隱藏:
sudo vi /etc/nginx/nginx.conf
在 http 部分添加:
http { ## # Basic Settings ## server_tokens off; }
重啟 Nginx :
sudo service nginx reload
這樣再次執(zhí)行 curl 就可以看到隱藏了 Nginx 的版本號了:
curl -I http://localhost
HTTP/1.1 200 OK Server: nginx ... X-Powered-By: PHP/5.5.9-1ubuntu4.14 ...
注意到上面 X-Powered-By: PHP/5.5.9-1ubuntu4.14 這一行暴露了 PHP 的版本號,所以我們來配置 php.ini 來隱藏之,即在 php.ini 文件中設(shè)置:
expose_php = Off
如果你的服務(wù)器的 php.ini 默認就隱藏了版本,那么恭喜你。
SSH 配置:配置 ssh ,比如關(guān)掉密碼認證式登錄等:
sudo vi /etc/ssh/sshd_config
打開之后配置:
# 不允許空密碼 PermitEmptyPasswords no # 關(guān)閉密碼驗證登錄,前提是你已經(jīng)使用了 ssh 密鑰驗證方式登錄 PasswordAuthentication no # 如果你在服務(wù)器上手動添加了用戶并將用戶分配到 root 用戶組,可以考慮禁止root用戶登錄 PermitRootLogin no
重啟 ssh :
sudo service ssh restartiptables 配置
iptables 提供了一種可靈活配置安全策略防火墻框架,具體的原理可以看這篇文章:http://seanlook.com/2014/02/23/iptables-understand/
博主寫文章很認真,推薦一下
開始之前,可以通過以下命令全新配置 iptables
iptables -F
注意上述命令會將你之前自己設(shè)置的過濾規(guī)則清空。
你可以查看 iptables 的相關(guān)資料,一條一條添加安全規(guī)則,也可以這樣:
sudo vi /etc/iptables.up.rules
添加內(nèi)容:
*filter # Accepts all established inbound connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allows all outbound traffic # You could modify this to only allow certain traffic -A OUTPUT -j ACCEPT # Allows HTTP and HTTPS connections from anywhere (the normal ports for websites) -A INPUT -p tcp --dport 443 -j ACCEPT -A INPUT -p tcp --dport 80 -j ACCEPT # Allows SSH connections for script kiddies # THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT # Now you should read up on iptables rules and consider whether ssh access # for everyone is really desired. Most likely you will only allow access from certain IPs. # Allow ping -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # log iptables denied calls (access via "dmesg" command) -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 # Reject all other inbound - default deny unless explicitly allowed policy: -A INPUT -j REJECT -A FORWARD -j REJECT COMMIT
其中非常值得注意的是這三條:
# 443 通常是 ssl 的端口,如果 VPS 是作為一臺web應(yīng)用的服務(wù)器并且啟用 https,你需要這個 -A INPUT -p tcp --dport 443 -j ACCEPT # 80 端口就不多說了 -A INPUT -p tcp --dport 80 -j ACCEPT # 這是 ssh 默認的 22 端口,開放給自己登錄使用 -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
注意這里的 22 端口,你可以修改為其他的端口,并且關(guān)閉 22 端口。更有一種解決方案是:將生產(chǎn)機器 ssh 端口完全關(guān)閉,用一臺同一子網(wǎng)下的跳板機,通過來登錄目標生產(chǎn)機器。
其他的配置的話,你需要根據(jù)你的業(yè)務(wù)來具體配置相對應(yīng)的安全策略。
寫好這些配置項之后,告訴 iptables 你的配置在哪:
sudo iptables-restore < /etc/iptables.up.rules
創(chuàng)建 shell 腳本來開機自啟動:
sudo vi /etc/network/if-up.d/iptables
添加內(nèi)容:
#!/bin/sh iptables-restore /etc/iptables.up.rules
給以可執(zhí)行的權(quán)限:
chmod +x /etc/network/if-up.d/iptables
到這里,iptables 的基礎(chǔ)設(shè)置就OK了。
配置 Fail2BanFail2Ban 的工作原理是:通過監(jiān)控系統(tǒng)的日志文件,并根據(jù)檢測到的任何可疑的行為自動觸發(fā)不同的防御動作,如將產(chǎn)生可疑行為的目標 ip 鎖定等。
安裝:
sudo apt-get install fail2ban
打開配置文件,進行配置:
sudo vi /etc/fail2ban/jail.conf
寫入:
[DEFAULT] ignoreip = 127.0.0.1/8 bantime = 3600 maxretry = 3 destemail = [email protected] action = %(action_mw)s [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3
到這里,就是我個人從上次被黑當中總結(jié)的一些基本的服務(wù)器安全,而至于群里 @little 大神說的跳板機的方案,容我再消化消化再嘗試部署起來。
總結(jié)1.服務(wù)一些基本的安全配置得跟上。
2.關(guān)注安全圈的新聞和動態(tài),及時升級軟件和修復(fù)相關(guān)安全漏洞。
3.服務(wù)器上的服務(wù),用哪個就看哪個,不用的堅決關(guān)掉。
4.服務(wù)器一旦被入侵,不急。關(guān)機,斷網(wǎng),備份,遷移,舍棄。
記?。?b>The less information you provide, the more secure you are .
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11182.html
摘要:美國國家安全局和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局近期發(fā)布了網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指南第部分防止和檢測橫向移動以下簡稱指南。如開篇所述,企業(yè)組織應(yīng)積極使用微分段,以最小化環(huán)境中任何特定網(wǎng)絡(luò)分段危害的爆炸半徑。盡管云計算將在5G網(wǎng)絡(luò)的成功落地中發(fā)揮著關(guān)鍵作用,但任何新技術(shù)的應(yīng)用都會帶來安全問題,云計算也不例外。美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)近期發(fā)布了《5G網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指...
摘要:日前,工業(yè)和信息化部印發(fā)了推動企業(yè)上云實施指南年以下簡稱實施指南,指導(dǎo)和促進企業(yè)運用云計算加快數(shù)字化網(wǎng)絡(luò)化智能化轉(zhuǎn)型升級。穩(wěn)妥有序?qū)嵤┥显啤楦猛七M企業(yè)上云工作,實施指南提出了相關(guān)政策措施。8月10日,信息化和軟件服務(wù)業(yè)司發(fā)布了《推動企業(yè)上云實施指南(2018-2020年)》(以下簡稱實施指南)解讀?!秾嵤┲改稀凤@示,云計算是推動信息技術(shù)能力實現(xiàn)按需供給、提高信息化建設(shè)利用水平的新技術(shù)、新...
摘要:在美國聯(lián)邦政府大力推進云計算的同時,美國政府大力研究和制定云計算安全策略。年月美國啟動了政府范圍的云計算解決方案的安全認證認可過程的開發(fā)。 引言 由于云計算在經(jīng)濟、敏捷和創(chuàng)新方面的突出特點,受到美國政府高度重視。早在2009 年1 月, 美國行政管理和預(yù)算局(OMB)就開始關(guān)注云計算和虛擬化。3 月維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(CIOC)的首席信息官后即表示將推...
摘要:如果還沒有,混合云存儲很可能成為企業(yè)的默認選擇。此外,大多數(shù)主要的云存儲提供商都在為企業(yè)提供指導(dǎo),將企業(yè)的產(chǎn)品與適當?shù)陌踩秃弦?guī)控制協(xié)調(diào)一致,以確保企業(yè)不會違反行業(yè)法規(guī)。如今,混合云的存儲量不斷增長這并不奇怪?;旌显票旧硎且环N越來越流行的部署IT服務(wù)的方法。事實上,根據(jù)調(diào)研機構(gòu)Gartner預(yù)測,到2020年,90%的企業(yè)將使用混合基礎(chǔ)設(shè)施的管理功能。這對企業(yè)的數(shù)據(jù)存儲策略意味著什么?首先,...
摘要:第二排柱狀圖顯示,云計算的計算量正在逐年增長。如何在云端使用語言編程登陸亞馬遜云計算平臺的控制界面點擊運行實例選擇你即將遠程訪問的虛擬機的操作系統(tǒng),這里我們選擇了亞馬遜選擇實例類型需要選擇內(nèi)存大小,同時比較不同的價格創(chuàng)建安全密鑰。 云計算正逐步成為適用于超出筆記本或臺式機處理能力的問題或數(shù)據(jù)的一種自然延伸。然而,對于完全沒有基礎(chǔ)的初學(xué)者來說,學(xué)習(xí)使用云計算平臺會顯得比實際更難。在本文中,我們...
閱讀 3306·2021-09-02 15:41
閱讀 2839·2021-09-02 09:48
閱讀 1379·2019-08-29 13:27
閱讀 1169·2019-08-26 13:37
閱讀 844·2019-08-26 11:56
閱讀 2490·2019-08-26 10:24
閱讀 1651·2019-08-23 18:07
閱讀 2625·2019-08-23 15:16