V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
w6643
V2EX  ›  Linux

服务器安全大家怎么做的

  •  
  •   w6643 · 2016-11-29 16:00:19 +08:00 · 5834 次点击
    这是一个创建于 2921 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是个新手,不知道怎么做服务器的安全,安骑士,安全狗怎么用比较合适?还有哪些安全策略要做的呢?
    35 条回复    2018-03-29 16:03:30 +08:00
    TimePPT
        1
    TimePPT  
       2016-11-29 16:09:39 +08:00   ❤️ 3
    Securing a Linux Server
    http://spenserj.com/blog/2013/07/15/securing-a-linux-server/
    这篇不错,可以看看
    Showfom
        2
    Showfom  
       2016-11-29 16:15:55 +08:00   ❤️ 3
    1 、关闭 root 密码登录,使用 SSH Key
    2 、关闭 root 登录,使用常规用户 有需要的时候用 sudo
    3 、使用 fail2ban
    4 、系统和程序都随时更新升级到最新版本
    5 、你网站千万千万不要用弱密码
    9hills
        3
    9hills  
       2016-11-29 16:18:15 +08:00   ❤️ 1
    如果服务器比较多,建议选择几台作为堡垒机,然后设置 iptables 规则,将 ssh 限制到堡垒机上

    这样什么 fail2ban 都不需要装

    堡垒机做 2 步认证,有现成的 PAM 模块
    akira
        4
    akira  
       2016-11-29 16:25:20 +08:00
    @Showfom 说的很完整了,补充个
    关闭所有不需要用到的端口和协议.

    安骑士,安全狗这些 3 方的东西,用处没想象中那么大的
    w6643
        5
    w6643  
    OP
       2016-11-29 16:55:21 +08:00 via Android
    @TimePPT 好的,我研究下
    w6643
        6
    w6643  
    OP
       2016-11-29 16:55:28 +08:00 via Android
    w6643
        7
    w6643  
    OP
       2016-11-29 16:55:44 +08:00 via Android
    @9hills 貌似有点高深
    sammo
        8
    sammo  
       2016-11-29 16:59:02 +08:00 via iPhone
    去看 digital ocean 的 vps tutorial 很详细一步步的啥都有
    H3x
        9
    H3x  
       2016-11-29 17:22:33 +08:00   ❤️ 1
    ixinshang
        10
    ixinshang  
       2016-11-29 17:24:40 +08:00 via Android
    受益匪浅
    ywgx
        11
    ywgx  
       2016-11-29 17:49:21 +08:00   ❤️ 1
    目前大多数中小企业在 云上,腾讯云,阿里云, AWS, 青云, ucloud

    云服务商 这块没有提供好的解决方案, 阿里云 默认给机器 安装了一个 aegis ( 安骑士客户端,也就是云盾客户端),其效果就是 定期探测服务器上几个敏感日志 和 一些文件,发现异常短信通知客户,比较占资源,而且大部分业内人士,认为 阿里云做的非常不专业

    提供一种比较科学的方案,供参考:

    三种机器角色 (生产机器, login 入口机器, master 管控机器 [一般是 ansible 或者 salt-master ] )



    1.首先根据网络区域,确定你们有几个网络节点, 然后每个节点,出一台 有公网的机器 作为该节点 入口 登录机器,出一台 机器 作为管控 master 机器, 该机器 默认可以免登录 所有 该节点生产机器

    2. 上面入口 机器只允许 通过 ssh 可信认证登录 ,禁止密码,企业每个技术人员独立账号 (而且该机器禁止 非信任的源 IP 通过 root 登录),即该机器 对外 都是 只有普通登录权限 , 作为 内网入口跳板机 功能

    入口确定了,就可以在 入口 截获每个账号的 IO 流,后续安全审计(什么时间,什么人,在哪台业务机器,做过什么操作)


    3. 业务机器,限定只能通过 login(可以有多个 login 机器)入口 和 master 登录进来 , login 一般 开发人员登录, master 运维人员登录


    4. 所有生产机器, 内网 10.0.0.0/8 不限制, 公网如果有,如需要,开辟几个自己需要的公开 (这块也是 通过 master 统一 模块化管控 iptables )



    更多细节 看下 xabcloud.com 的设计
    vultr
        12
    vultr  
       2016-11-29 18:00:14 +08:00
    如果实在不放心,对系统的所有文件进行 sha256 运算,并且把结果存起来,每次对系统进行更改,对更新的文件也再算一次 sha256.哪天感觉系统被黑了,对一下所有文件的 sha256,你就知道了。

    Showfom
        13
    Showfom  
       2016-11-29 18:06:34 +08:00 via iPhone
    @akira 一般 web 应用就开 22 80 443 哈哈
    qcloud
        14
    qcloud  
       2016-11-29 18:09:37 +08:00
    只开 80 和 443 端口。。。。
    TaMud
        15
    TaMud  
       2016-11-29 18:32:51 +08:00
    这是一个很宽泛的问题
    就如问,你猜我啥时候上天见马克思,一样
    TaMud
        16
    TaMud  
       2016-11-29 18:33:09 +08:00
    如果有人能给你答案,那这个人肯定是半瓶水
    anjunecha
        17
    anjunecha  
       2016-11-29 19:05:25 +08:00 via iPhone
    限定了只能用公司专线的固定 IP 登陆…
    Vicer
        18
    Vicer  
       2016-11-29 19:08:01 +08:00 via Android
    2 楼一定有故事
    snsd
        19
    snsd  
       2016-11-29 19:13:12 +08:00 via iPhone
    有没有人说说 win 系统的服务器该怎么做安全
    imnpc
        20
    imnpc  
       2016-11-29 19:22:37 +08:00
    大公司的堡垒机程序可能自己开发的 支持 Linux + win
    我们一般用的可能只支持 Linux
    安全狗这些不建议安装 因为策略调整可能会把自己挡在外面
    按照二楼的教程
    只开放需要的端口 其他全部关闭
    用 SSHKEY 不开放密码登录 除非特别需要密码的 请更换端口 5 位数的
    des
        21
    des  
       2016-11-29 19:31:28 +08:00 via Android
    楼上都说的差不多了,我来补充几个重要的。
    不要用 root 用户跑程序,特别是对外服务的。
    记得把相关配置都过一遍,有些默认配置安全性是很弱的。
    如果可以尽量不选用默认端口,可以避免一些麻烦。
    最最重要的是,有默认密码的都要改掉,不用弱密码,不然其他的做再多也是白瞎
    vloony
        22
    vloony  
       2016-11-29 20:20:52 +08:00
    服务器安全这方面我认为最安全的两个方法是 reboot 跟 rm -rf /
    wenymedia
        23
    wenymedia  
       2016-11-29 20:40:55 +08:00 via Android
    用 docker 云服务 关掉 ssh … 用服务方提供的使用 docker API 的 web console 连接。但是千万别大意,依然有可能因为恶意脚本被黑
    zpole
        24
    zpole  
       2016-11-29 21:11:41 +08:00
    我就简单的关闭了账号密码登录+禁止 25 ( stmp )端口。一直很奇怪为什么不禁止 stmp 就会被 spam 。。。
    ryd994
        25
    ryd994  
       2016-11-29 21:30:19 +08:00 via Android
    @zpole SMTP ………
    邮件服务器配置不严密的话,会被用来中转垃圾邮件
    mytsing520
        26
    mytsing520  
       2016-11-29 21:31:10 +08:00
    堡垒机来做梯子登录服务器,用密钥+IP 控制登录
    zpole
        27
    zpole  
       2016-11-29 21:34:27 +08:00
    @ryd994 我就是吐个槽,为什么 smtp 这么不安全还在用。。。。
    xiaoz
        28
    xiaoz  
       2016-11-29 21:37:26 +08:00
    @vloony 厉害了我的哥
    ryd994
        29
    ryd994  
       2016-11-29 21:40:31 +08:00 via Android
    @zpole 其实没事,默认配置只路由本地邮件。正确配置也是妥妥的。然而总有小白看网上教程随便改。
    加密加验证的 SMTP 没什么不靠谱的
    封 25 主要是最小暴露面原则
    其实如果平时不发监控邮件的话(估计大多数人也不……),可以关了 mta ,有 mda 就行
    zpole
        30
    zpole  
       2016-11-29 21:45:31 +08:00
    @ryd994 感觉默认配置并不安全。。。我以前不管 smtp ,新服务器开了没几天就会被 spam 。。。 smtp 配置都没修改过
    lan894734188
        31
    lan894734188  
       2016-11-30 03:37:09 +08:00 via Android
    密匙 二次验证 端口
    ihciah
        32
    ihciah  
       2016-11-30 11:55:28 +08:00 via iPhone
    保证你开的服务是安全的,首先是代码要没问题,最好用 docker ,用不了也要配置好权限,以及保证内核版本较新。
    okudayukiko0
        33
    okudayukiko0  
       2016-12-03 11:14:09 +08:00 via iPhone
    Fail2ban Nginx+modsecurity AppArmor/SELinux 只用 VPSConsole/虚拟化 Console/控制卡 iptables
    okudayukiko0
        34
    okudayukiko0  
       2016-12-03 11:20:54 +08:00 via iPhone
    @snsd 印象中 定期打补丁 然后调整组策略 设置应用程序限制 /AppLocker 设置高级 Windows 防火墙 增强 SQLServer 的安全
    过往被视为安全性垃圾的 Microsoft 没错 XP/2000/2003 那时确实漏洞多 还有就是 SQL Server 2000 类的 不过到了 Win2008/SQL2008 时期应该有改善, Win2008 要求密码最低多少位(忘记了) SQL2008 的安全性也有改善
    fengyu110122
        35
    fengyu110122  
       2018-03-29 16:03:30 +08:00
    传统的思路,就是加补丁,封端口,这样能杜绝大部分的攻击
    但是只有相对安全的服务器,没有绝对安全的服务器
    如果做金融、游戏、新闻、共享之类的高并发且竞争激烈的行业,推荐使用帝通科技高防服务器,硬防+软防 100-500G 流量,可说是相对安全的服务器。http://www.dtidc.com/defense/hz/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1373 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:35 · PVG 01:35 · LAX 09:35 · JFK 12:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.