重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
安全组 是一个ECS的重要安全设置,但对小白用户来说却很难理解其中晦涩难懂的专业术语。websoft9在此介绍个人的理解:
十年的桃城网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。全网营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整桃城建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联公司从事“桃城网站设计”,“桃城网站推广”以来,每个客户项目都认真落实执行。
阿里云官方解释 :安全组是一种虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。每个实例至少属于一个安全组,在创建的时候就需要指定。
注解:简单理解:服务器什么端口(服务)可以被访问,什么端口可以被封锁
例子:服务器80端口是用来提供http服务,如果服务器部署了网站,而没有开放80端口,这个网站肯定访问不了,http: //ip 是打不开的。
这是很常见的问题,用户第一感觉就是购买的服务器有问题或购买的镜像用不了。
远程连接(SSH)Linux 实例和远程桌面连接 Windows 实例可能会失败。
远程 ping 该安全组下的 ECS 实例的公网 IP 和内网 IP 可能会失败。
HTTP 访问该安全组下的 ECS 实例暴漏的 Web 服务可能会失败。
该安全组下 ECS 实例可能无法通过内网访问同地域(或者同 VPC)下的其他安全组下的 ECS 实例。
该安全组下 ECS 实例可能无法通过内网访问同地域下(或者同 VPC)的其他云服务。
该安全组下 ECS 实例可能无法访问 Internet 服务。
当用户购买一个新的服务器的时候,阿里云会提醒选择安全组,对于一部分入门用户来说,第一感觉就是选择一个等级比较高的安全组,这样更为保险。实际上,等级越高,开放的端口越少。甚至连80端口、21端口都被封锁了,导致服务器ping不通、http打不开。这样最常见的访问都无法进行,用户第一感觉就是购买的服务器有问题或购买的镜像用不了。
在Websoft9客服工作中统计发现,96%的用户浏览器http://公网IP 打不开首页,都是因为安全组的设置关闭了80端口所导致。
第一,找到对应的实例,通过安全组配置选项进入设置。
第二,点击“配置规则”,进入安全组规则设置。
1.更换sshd端口2.禁用ssh密码登录,仅使用证书登录VPS默认的SSHD服务开启在22端口,互联网上有很多所谓的“hacker”时刻用ssh扫描工具扫描IP上的22端口,然后用字典工具尝试是否有类似于“123abc”这样的若密码,一旦您的root密码是弱密码的话,您的VPS就会成为“肉鸡”。下面Hi-VPS介绍几种简单的方法来保护您的VPSSSH安全。1.更换sshd端口最简单的法就是更改sshd默认的22端口,这样ssh扫描工具就以为这个IP上并没有开启sshd服务。sed-i-e's/Port22/Port22233/'/etc/ssh/sshd_config运行上面的命令就把ssh的默认端口改为22233,然后需要重启sshd服务,生效更改:servicesshdrestart这样就能在很大程度上解决VPS的ssh被扫描的风险。只需在ssh登录软件上把默认的ssh端口也改为22233即可。2.禁用ssh密码登录,仅使用证书登录(使用证书登录SSH操作比较麻烦,一般用户在更改默认sshd端口后既可以抵挡一般性的ssd扫描,在不设置ssh证书的前提下也能在很大程度上增加系统的安全性)使用ssh私钥登录而不使用密码登录,能在更大程度上保证ssh的安全。(1)创建私钥可以用putty自带的“PUTTYGEN”来创建私钥,PUTTYGEN就在putty的目录下面,双击运行后弹出界面.点击界面中的Generate按钮,开始生成一个私钥,在过程中鼠标要不停的随机移动产生足够的随机数来帮助生成高强度的私钥:组后生成的私钥就是一个很长的随机字符串,然后输入私钥密码提示(防止你忘了私钥密码),私钥密码:先在复制生成的私钥字符串,然后点击saveprivatekey来保存私钥.(2)上传私钥至VPS先通过ssh登录后,运行如下命令创建ssh服务端配对私钥:mkdir-p$HOME/.sshtouch$HOME/.ssh/authorized_keys\chmodgo-w$HOME$HOME/.ssh$HOME/.ssh/authorized_keysvim$HOME/.ssh/authorized_keys在VIM中按o(小写),然后右键(通过putty登录ssh的时候,putty右键表示复制内容),刚才的私钥密码就复制进去了,然后按Esc,按两次大写字母Z,保存退出.(3)在putty中导入私钥点击“Broser”按钮,导入私钥:然后设置自动登录用户,这就不用每次都输入登录用户名了:OK,保存session导入私钥后,再登录putty就可以直接输入比较简单的私钥密码了,不用输入几十位原始密码.(4)禁用VPS的SSHD的密码登录首先需要编辑sshd_config文件:vim/etc/ssh/sshd_config把PasswordAuthenticationyes这一行改为:PasswordAuthenticationno然后重启ssh服务:servicesshdrestart(5)使用PAGEANT代理私钥如果您有好几台VPS需要管理,就可以用使用PAGEANT,每次甚至不用输入私钥密码就能登录.运行PAGEANT.exe,导入你刚才保存的私钥文件,PAGEANT会让你输入私钥密码,输入后PAGEANT就待在右下角任务栏中,如果需要连接那个ssh,就右键点击PAGEANT,从savedsessions中选择,直接登录.
关闭ping扫描,虽然没什么卵用
先切换到root
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭
0代表开启
用iptables
iptables -I INPUT -p icmp -j DROP
简单介绍下基本的 dedecms _aq/' target='_blank'安全设置
一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root
这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限
以下是具体做法(需要在root下)
添加普通用户
useradd xxx
设置密码
passwd xxx
这样就创建好了一个普通用户
禁止root登录
vi /etc/ssh/sshd_config
PermitRootLogin no
Systemctl restart sshd
这样就完成了第一步,之后root就无法登录服务器只能通过普通用户su切换
二、修改ssh的默认端口22,因为ssh的端口是22,我们如果修改了该端口,他们就需要花费一点时间来扫描,稍微增加了点难度
以下将端口改为51866可以根据需要自己更改,最好选择10000-65535内的端口
step1 修改/etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#Port 22 //这行去掉#号
Port 51866 //下面添加这一行
为什么不先删除22,以防其他端口没配置成功,而又把22的删除了,无法再次进入服务器
step2 修改SELinux
安装semanage
$ yum provides semanage
$ yum -y install policycoreutils-python
使用以下命令查看当前SElinux 允许的ssh端口:
semanage port -l | grep ssh
添加51866端口到 SELinux
semanage port -a -t ssh_port_t -p tcp 51866
注:操作不成功,可以参考:
失败了话应该是selinux没有打开
然后确认一下是否添加进去
semanage port -l | grep ssh
如果成功会输出
ssh_port_t tcp 51866, 22
step3 重启ssh
systemctl restart sshd.service
查看下ssh是否监听51866端口
netstat -tuln
Step4 防火墙开放51866端口
firewall-cmd --permanent --zone=public --add-port=51866/tcp
firewall-cmd --reload
然后测试试试,能不能通过51866登录,若能登录进来,说明成功,接着删除22端口
vi /etc/ssh/sshd_config
删除22端口 wq
systemctl restart sshd.service
同时防火墙也关闭22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp
注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网,需要做端口映射)
三、使用一些类似DenyHosts预防SSH暴力破解的软件(不详细介绍)
其实就是一个python脚本,查看非法的登录,次数超过设置的次数自动将ip加入黑名单。
四、使用云锁(不详细介绍)
参考自
总的来说做好了前两步能够减少至少百分之五十的入侵,在做好第三步之后,基本可以杜绝百分之八十以上的入侵。当然最重要的还是自己要有安全意识,要多学习一些安全知识和linux的知识。
第三第四其中都有稍微提到一点,感兴趣可以看看
1、首先登陆阿里云网站,进入控制台,点击云服务zhi器ECS,进入服务器控制台,点击要选择的服务器。
2、进入服务器实例列表,找到想要增加端口的实例,点击后面的更多,再点击网络和安全组,在选择安全组配置按钮。
3、点击更多后列表中找到安全组配置,并点击规则。
4、跳转到的页面里,如果想添加新的端口就点击手动添加。
5、在弹出窗口中输入内容,比如添加22端口,就在端口范围里输入以22/22, 在授权对象里输入“0.0.0.0/0”意思是允许所有访问 。
6、点击确定后看看安全组规则中是否多了一个22的端口,就设置成功了。
步骤1 vim /etc/ssh/sshd_config;
修改端口号
步骤2 执行/etc/init.d/sshd restart
这样SSH端口将同时工作与22和1022上
步骤3 现在编辑防火墙配置:
添加 -A INPUT -m state --state NEW -m tcp -p tcp --dport 1022 -j ACCEPT
重启防火墙服务:
步骤4 现在请使用ssh工具连接1022端口,来测试是否成功。