阿里雲アカウント購入: すぐにオンにしなければならない阿里雲ECSセキュリティ設定が5つあります!えっ!
クラウドコンピューティングの輪では、このような悲劇がよく聞かれます。
「買ったばかりのサーバーは、まだ走っていないうちに鉱山のトロイの木馬が移植され、CPUは毎日100%!」と言いました
「データベースがハッカーに脅迫され、ビットコインの支払いを要求してファイルをロック解除した場合、どうすればいいですか?」と言いました。
完成したばかりです
Alibaba Cloudアカウントの購入
の初心者は、多くの場合、すべての精力を配置サイトや配置コードに置いているが、サーバーを「裸の赤ちゃん」のようにネット上に投げている。
インターネット上で24時間、無数のハッカーの自動スクリプトがネットIPを狂ったようにスキャンしていることを知っておく必要があります。あなたのサーバーのパスワードが簡単すぎたり、脆弱性が補充されていない、ポートが大きくなったりして、30分もたたないうちに、あなたのサーバーは他人の肉鶏になります。
安全で些細なことではない。今日のこの深い実技のチュートリアルは、字数、純粋な口語を集めず、手で教えてあげます
すぐにオンにする必要がある5つのalibaba cloud ECSセキュリティ設定
。この5つの「鉄布シャツ」を10分でカバーすれば、脳のないハッカー攻撃の99% を止めることができる。
コア防御図鑑: あなたのサーバにはどんな死角がありますか?
ハッカーがサーバーを攻撃するのは、泥棒が侵入して窃盗するようなものだ。彼らは通常通過します
爆破暗証番号 (玄関を歩く)
システムの脆弱性を利用する
あるいは
伝送データを傍受して目的を達成する。
私たちが今日設置した五つの防護は、あなたの阿里雲ECSがドアを溶接して、窓に防犯網を取り付けることです。
設定1: 「セキュリティグループ」ルールの微細化-ハイリスク・ポートをオフにする (盗難防止ドアを管理する)
一言人の言葉:
家のすべてのドアと窓を開けないで、出入りを許す人だけにスリットを入れる。
多くの初心者は手間を省くために、セキュリティグループを設置するときに「解放」を追加した
1/65535
「ポート」のルールは、盗難防止ドアを直接取り外すことに相当する。
どうしますか。
阿里雲コンソールにログインし、「クラウドサーバECS」-> 「インスタンス」にアクセスし、サーバ名をクリックします。
「セキュリティグループ」タブに切り替え、セキュリティグループIDをクリックして設定ページに入ります。
「入方向」ルールをチェックし、雷は「すべて解放 (0.0.0/0でポートはALL) 」のルールをすべて削除します。
正しい姿勢: 「何を使うか」の原則を採用する。Linuxサーバの場合は、22ポート (リモート接続) しか解放しない。駅を建てる場合は、80(HTTP) と443(HTTPS) のポートのみを解放します。高度な募集: 22ポートの「認可対象」をきみの会社や自宅の固定パブリックネットワークIPに変更する。このようにして、あなたを除いて、インターネットは誰もこのドアに接続できない。
設定2: Rootユーザーのログインを無効にし、SSHキーペアを有効にする (古いドアロックを変更する)
一言人の言葉:
ハッカーは毎日パスワード辞書であなたを推測します
ルート
アカウントのパスワードです。では私たちは直接
を置く
ルート
隠して、パスワードでログインしてはいけません。「工札」 (鍵) をつけなければ入りません。
Linuxサーバのデフォルトの最高管理者は
ルート
。ハッカーがサーバーを爆破した時、アカウント名の100% が書かれたのは
ルート
、狂ったようにパスワードを推測するだけです。
どうすればいいですか?
鍵ペアの作成: ECSコンソールの左側のメニューで「ネットワークとセキュリティ」-> 「鍵ペア」を見つけ、「作成」をクリックします。システムは自動的に.pem形式の秘密鍵ファイルを生成してあなたのパソコンにダウンロードします。 (この書類はあなたの電子カードです。絶対になくしてはいけません!) を参照してください
結合鍵ペア: インスタンスリストに戻り、サーバをチェックして「鍵ペア」-> 「結合鍵ペア」を選択し、作成したばかりの鍵を結合します。注意: バインド後、サーバを再起動する必要があります。
パスワードログインを完全に無効にする: 鍵でサーバにログインした後、SSH構成ファイルを変更します同時にPermitRootLogin yesを見つけて、noに変更します。保存後SSHサービスを再起動します。
それ以来、ハッカーのパスワード爆破スクリプトは完全に廃止された。あなたのサーバーは今「鍵だけを認めてパスワードを認めない」ので、そのカードファイルはなく、パスワードが正しいとしても一歩踏み込んではいけない。
設定3: デフォルトのリモート接続ポートを変更する (ゲートを偽装する)
一言で言うと:
Linuxのデフォルトのリモートポートは
22
、Windowsは
3389
。これは、泥棒が正門の猫の目をほじくることを知っているようなもので、私たちはドアベルを天台に移した。
全ネットのスキャナーは毎日すべてのパブリックネットワークIPに向かっている
22
そして
3389
ポートが狂ったように掃射します。私たちはポートを冷たいドアの数字 (例えば
56789
) は、直接95% の脳のないスキャナーを手ぶらで帰らせることができる。
どうすればいいですか?
Linuxを
56789
ポート例:
まず阿里雲安全グループに行って、方向ルールを追加して、56789ポートを開放する。 (覚えておいてください: 先に解放しなければなりません。そうでなければ、ポートを変更してあなた自身も連絡を失ってしまいます!) を参照してください
サーバにログインし、構成ファイルを変更します。Bashvi /etc/ssh/sshd _ configは # Port 22を見つけ、コメント # を削除し、次の行にPort 56789を追加します。
終了を保存し、SSHサービスを再起動します。新しいポート56789で再接続を試みます。
接続が成功したら、プロファイルに戻ってPort 22を削除し、阿里雲セキュリティグループで22ポートのリリースルールを削除する。
設定四: すぐに無料の「全面自動スナップショットポリシー」をオンにします。
(一生の安心保険を買う)
一言で言うと:
バックアップがあれば、サーバーがハッカーに焼かれても、時間が戻って血が復活する。
多くの人が行っています
Alibaba Cloudアカウントの購入
の場合、データバックアップの重要性は無視されます。脅迫ウイルスに遭遇したり、データベース (伝説のrm -rf /*) を誤って削除したりした場合、バックアップがないことは完全に破産することを意味する。
どうすればいいですか?
ECSコンソールの左側のメニューで「ストレージとスナップショット」-> 「自動スナップショットポリシー」を見つけます。
「ポリシーの作成」をクリックして、「毎日のコアバックアップ」などの名前を付けます。
ポリシー設定: 毎日午前2時または午前3時 (業務の谷期) に自動的に実行するように設定することをお勧めします。保留時間は7日または14日に設定します。
「応用例」をクリックして、あなたが実行しているシステムディスクとデータディスクをチェックします。
今、阿里雲は毎晩静かにあなたのハードディスクを「全身写真」を撮っています。もしいつかサーバーが転覆したら、コンソールに行って「ロールバック」をクリックするだけで、5分以内にデータがそのまま戻ってきます。
設置5: クラウドセキュリティセンターを有効にする (24時間オンラインのボディーガードを設置する)
一言で言うと:
阿里雲政府は無料で「雲上360」を贈って、誰かが暴力的にパスワードを解読しているかどうか、トロイの木馬が走っているかどうかを監視するのに役立つ。
阿里雲はすべてのECS内部にデフォルトで軽量なセキュリティコンポーネントを組み込みます。対応するコンソール製品は
クラウドセキュリティセンター
(基本版は完全に無料です)。
どうすればいいですか?
阿里雲公式サイトのトップ検索欄に「クラウドセキュリティセンター」と入力し、コンソールに入る。
「資産センター」で、ECSインスタンスが「保護された」状態であることを確認します。
「安全警告処理」に入ると、ここでは過去数日、どの海外IPがあなたのパスワードを爆破しようとしているのか、何度傍受したのかがはっきり見えます。
通知をオンにする: 設定に入って、あなたの携帯電話番号やマイクロレター/ホッチキスをバインドすることを強くお勧めします。サーバーがオフサイトにログインしたり、悪意のあるスクリプトが実行されたりすると、阿里雲は秒レベルでメールを送って、最初の時間にネットワークを切断したり、停止を停止したりすることができます。
まとめ: 新米の転覆防止の口訣
安全防護は一労永逸の技術ではなく、良好な運送習慣である。完了
Alibaba Cloudアカウントの購入
その後、この5つの安全な動作を暗記してください
セキュリティグループは合理化しなければならず、ハイリスクポートは絶対に開かない
Rootアカウントは非表示にして、登録はすべてパスワードロック (鍵) に頼っている
デフォルトのポートは変更する必要があり、ハッカースキャンでは見つかりません
自動スナップショットは毎日運転し、転覆しても後悔薬を飲むことができる
安全センターはよく見て、オフサイトの登録はすぐに切れます。
この5つの防護を10分で配置すると、あなたのクラウドサーバは強固な砦のように、波浪に任せて釣魚台に座ることができる。早く阿里雲コンソールをチェックしてください!

