Pembelian akaun Alibaba Cloud: 5 tetapan perlindungan keselamatan Alibaba Cloud ECS yang mesti dibuka dengan segera!!
Dalam lingkaran pengkomputeran awan, tragedi seperti itu sering didengar:
"Pelayan yang baru saya beli ditanam dengan Trojan perlombongan sebelum menjalankan perniagaan. CPU 100% setiap hari!"
"Pangkalan data diperas oleh penggodam dan memerlukan bitcoin untuk membuka kunci fail. Apa yang harus saya lakukan?"
Banyak yang baru selesai
Pembelian akaun Alibaba Cloud
Pemula sering menumpukan seluruh tenaga mereka untuk menyebarkan laman web dan mengkonfigurasi kod, tetapi melemparkan pelayan terus ke rangkaian awam seperti "bayi telanjang".
Anda harus tahu bahawa terdapat banyak skrip automatik penggodam yang mengimbas IP rangkaian awam 24 jam sehari di Internet. Sebaik sahaja anda mendapati bahawa kata laluan pelayan anda terlalu mudah, atau celah tidak diisi, dan port dibuka, dalam masa setengah jam, pelayan anda akan menjadi ayam pedaging orang lain.
Keselamatan bukanlah perkara kecil. Tutorial praktikal mendalam hari ini, tanpa mengira jumlah perkataan, bahasa biasa yang murni, mengajar anda bagaimana
5 tetapan perlindungan keselamatan Alibaba Cloud ECS yang mesti dihidupkan dengan segera
。 Hanya memerlukan 10 minit untuk menutup lima "baju besi" ini untuk membantu anda menyekat 99% serangan penggodam tanpa otak.
Buku Ilustrasi Pertahanan Teras: Apakah titik buta pelayan anda?
Hacker menyerang pelayan, seperti pencuri. Mereka biasanya lulus
Kod letupan (pergi ke pintu)
, Gunakan celah sistem (buka tingkap)
Atau
Pantau dan hantar data (separuh rompakan) untuk mencapai matlamat.
Lima perlindungan utama yang kami sediakan hari ini adalah untuk membantu Alibaba Cloud ECS anda mengimpal pintu dan memasang jaring anti-pencurian di tingkap.
Tetapan 1: Peraturan "kumpulan keselamatan" yang disempurnakan-menutup pelabuhan berisiko tinggi (menguruskan pintu keselamatan)
Satu perkataan:
Jangan buka semua pintu dan tingkap di rumah, hanya buka jahitan untuk mereka yang dibenarkan masuk dan keluar.
Untuk menyelamatkan masalah, banyak pemula secara langsung menambahkan "Lepaskan
1/65535
Peraturan "port" sama dengan melepaskan pintu keselamatan secara langsung.
Bagaimana untuk melakukannya?
Log masuk ke konsol Cloud Alibaba, masukkan [Cloud Server ECS]-> [Contoh], dan klik nama pelayan.
Tukar ke tab [Kumpulan Keselamatan], klik ID Kumpulan Keselamatan untuk memasuki halaman konfigurasi.
Periksa peraturan [Arah Masuk], dan hapus semua peraturan "semua pelepasan (0.0.0.0/0 dan port SEMUA)".
Postur yang betul: Mengamalkan prinsip "apa yang hendak dibuka". Sekiranya ia adalah pelayan Linux, hanya port 22 (sambungan jauh) yang dilepaskan. Sekiranya ia adalah laman web, hanya port 80(HTTP) dan 443(HTTPS) yang akan dilepaskan. Langkah besar lanjutan: Ubah "objek yang dibenarkan" port 22 dari 0.0.0.0/0 (pemilik) ke IP rangkaian awam tetap syarikat atau rumah anda. Dengan cara ini, tidak ada seorang pun di seluruh Internet yang dapat menyambung ke pintu ini kecuali anda.
Tetapan 2: Lumpuhkan log masuk pengguna Root dan aktifkan pasangan kunci SSH (ganti kunci pintu lama)
Satu perkataan:
Penggodam menggunakan kamus kata laluan untuk meneka anda setiap hari
Root
Kata laluan akaun. Kemudian kita secara langsung
Meletakkan
akar
Tersembunyi, dan tidak dibenarkan log masuk dengan kata laluan, anda mesti menggesek "kad kerja" (kunci) untuk masuk.
Pentadbir tertinggi lalai pelayan Linux dipanggil
akar
。 Apabila penggodam meletupkan pelayan, 100% nama akaun ditulis hingga mati
akar
, Cukup meneka kata laluan.
Bagaimana hendak melakukannya?
Buat pasangan kunci: Cari [Rangkaian dan Keselamatan]-> [Pasangan Kunci] di menu sebelah kiri konsol ECS, dan klik Buat. Sistem akan menghasilkan satu secara automatik. Muat turun fail kunci peribadi dalam format pem ke komputer anda. (Fail ini adalah kad elektronik anda, jangan kehilangannya!)
Pasangan kunci pengikat: Kembali ke senarai contoh, periksa pelayan, pilih [pasangan kunci]-> [pasangan kunci pengikat], dan ikat kunci yang baru dibuat. Catatan: Setelah mengikat, pelayan perlu dimulakan semula untuk berkuat kuasa.
Lumpuhkan sepenuhnya log masuk kata laluan: Setelah log masuk ke pelayan dengan kunci, ubah fail konfigurasi SSH: Bashvi /etc/ssh/sshd_config Cari Password Authentication yes dan ubah ya menjadi tidak. Cari PermitRootLogin pada masa yang sama, ubah menjadi tidak (atau simpan hanya membenarkan kunci untuk log masuk). Mulakan semula perkhidmatan SSH (systemctl restart sshd) selepas menyimpan.
Sejak itu, skrip peledakan kata laluan penggodam telah dihapuskan sepenuhnya. Kerana pelayan anda sekarang "hanya mengenali kunci tetapi bukan kata laluan", tidak ada fail kad kerja, walaupun kata laluan itu betul, anda tidak boleh mengambil langkah.
Tetapan 3: Ubah port sambungan jauh lalai (menyamar pintu)
Satu ayat yang munasabah:
Port jauh lalai Linux adalah
22
Windows adalah
3389
。 Ini seperti semua orang tahu bahawa pencuri itu akan memilih mata kucing di pintu masuk depan, jadi kami menggerakkan loceng pintu ke bumbung.
Pengimbas seluruh rangkaian menghadapi semua IP rangkaian awam setiap hari
22
Dan
3389
Pelabuhan menembak gila. Kami menukar port ke nombor yang tidak popular (seperti
56789
), Secara langsung boleh membiarkan 95% pengimbas tanpa otak kembali dengan tangan kosong.
Bagaimana hendak melakukannya?
Tukar kepada Linux
56789
Port sebagai contoh:
Mula-mula pergi ke Alibaba Cloud Security Group, tambahkan peraturan arah masuk, dan lepaskan port 56789. (Ingat: Anda mesti melepaskannya terlebih dahulu, jika tidak, anda akan terputus hubungan setelah menukar port!)
Log masuk ke pelayan dan ubah fail konfigurasi: Bashvi /etc/ssh/sshd_config Cari # Port 22, hapus komen #, dan tambahkan sebaris Port 56789 di bawah.
Simpan dan keluar, mulakan semula perkhidmatan SSH. Cuba menyambung semula dengan port baru 56789.
Setelah sambungan berjaya, kembali ke fail konfigurasi untuk menghapus Port 22, dan pergi ke Alibaba Cloud Security Group untuk menghapus peraturan pelepasan port 22.
Tetapan 4: Segera buka "strategi snapshot automatik penuh" percuma
(Beli insurans tanpa bimbang seumur hidup)
Satu ayat yang munasabah:
Selagi anda mempunyai sandaran, walaupun pelayan dibakar oleh penggodam, anda boleh kembali ke masa lalu dan bangkit semula dengan darah penuh.
Ramai orang melakukannya
Pembelian akaun Alibaba Cloud
Semasa mengabaikan kepentingan sandaran data. Apabila menemui ransomware atau menghapus pangkalan data secara tidak sengaja (legenda rm -rf /*), tidak ada sandaran yang bermaksud muflis sepenuhnya.
Bagaimana hendak melakukannya?
Cari [Penyimpanan dan Snapshot]-> [Strategi Snapshot Automatik] di menu kiri konsol ECS.
Klik [Buat Strategi] dan beri nama (seperti "Cadangan Teras Harian").
Tetapan dasar: Dianjurkan untuk menetapkan pelaksanaan automatik pada pukul 2:00 atau 3:00 pagi (tempoh perniagaan rendah) setiap hari, dan waktu penyimpanan ditetapkan menjadi 7 atau 14 hari.
Klik [Contoh Aplikasi] untuk memeriksa cakera sistem dan cakera data yang sedang anda jalankan.
Kini, Alibaba Cloud secara senyap-senyap akan mengambil "gambar badan penuh" cakera keras anda setiap malam. Sekiranya suatu hari pelayan benar-benar terbalik, anda hanya perlu pergi ke konsol dan klik [Roll Back Cloud Disk], dan semua data akan dikembalikan dalam masa 5 minit.
Tetapan 5: Aktifkan Pusat Keselamatan Awan (pasangkan pengawal dalam talian 24 jam)
Satu ayat yang munasabah:
Alibaba Cloud secara rasmi memberikan "Cloud 360" secara percuma, yang dapat membantu anda memantau apakah ada yang memecahkan kata laluan dengan ganas dan apakah ada kuda Trojan yang sedang berjalan.
Alibaba Cloud mempunyai komponen perlindungan keselamatan ringan yang tertanam di semua ECS secara lalai. Produk konsol yang sesuai dipanggil
Pusat Keselamatan Awan
(Versi asas adalah percuma).
Bagaimana hendak melakukannya?
Masukkan [Cloud Security Center] di bar carian di bahagian atas laman web rasmi Alibaba Cloud untuk memasuki konsol.
Di [Pusat Aset], sahkan bahawa contoh ECS anda berada dalam keadaan "dilindungi".
Masukkan [Pemprosesan Amaran Keselamatan], di sini anda dapat melihat dengan jelas IP luar negara mana yang cuba meletupkan kata laluan anda dan berapa kali pemintasan telah dicetuskan dalam beberapa hari terakhir.
Pemberitahuan pembukaan: Sangat disarankan untuk memasukkan tetapan dan mengikat nombor telefon bimbit anda atau WeChat/Dingding. Setelah pelayan log masuk di tempat yang berbeza, atau skrip jahat dikesan untuk dijalankan, Alibaba Cloud akan menghantar pesanan teks kepada anda dalam beberapa saat, sehingga anda dapat masuk ke dalam talian untuk memotong rangkaian dan menghentikan kerugian secepat mungkin.
Ringkasan: Formula anti-rollover pemula
Perlindungan keselamatan bukanlah teknologi sekali-untuk-semua, tetapi kebiasaan operasi dan penyelenggaraan yang baik. Selesai
Pembelian akaun Alibaba Cloud
Selepas itu, sila ingat lima tindakan selamat ini seperti formula pendaraban:
Pasukan keselamatan mesti diperkemas, dan pelabuhan berisiko tinggi tidak boleh dibuka;
Akaun root mesti disembunyikan, dan log masuk bergantung pada kunci kata laluan (kunci);
Port lalai mesti diubah, dan imbasan penggodam tidak dapat dijumpai;
Ambil gambar automatik setiap hari, dan anda boleh mengambil ubat penyesalan ketika kereta terbalik;
Pusat keselamatan sering melihat, dan log masuk di tempat yang berbeza akan segera rosak.
Luangkan sepuluh minit untuk mengkonfigurasi lima perlindungan ini, dan pelayan awan anda boleh menjadi seperti kubu kuat, membiarkan angin dan ombak naik dan duduk tegak di Diaoyutai. Pergi dan periksa konsol Alibaba Cloud anda!
