การซื้อบัญชี Alibaba Cloud: 5การตั้งค่าการป้องกันความปลอดภัย Alibaba Cloud ECS ที่ต้องเปิดทันที!!
ในแวดวงการประมวลผลแบบคลาวด์มักจะได้ยินโศกนาฏกรรมดังกล่าว:
"เซิร์ฟเวอร์ที่ฉันเพิ่งซื้อถูกฝังด้วยม้าโทรจันในการขุดก่อนที่จะดำเนินธุรกิจและ CPU 100% ทุกวัน!"
"ฐานข้อมูลถูกแฮ็กเกอร์แบล็กเมล์และต้องจ่าย Bitcoin เพื่อปลดล็อกไฟล์ฉันควรทำอย่างไร"
จำนวนมากเพิ่งเสร็จสิ้น
การซื้อด้วยบัญชีอาลีคลาวด์
สามเณรมักทุ่มเทแรงกายแรงใจในการปรับใช้เว็บไซต์และรหัสการกำหนดค่าแต่โยนเซิร์ฟเวอร์ลงบนเครือข่ายสาธารณะโดยตรงเหมือน "เด็กเปลือย"
คุณต้องรู้ว่ามีสคริปต์อัตโนมัติของแฮ็กเกอร์จำนวนนับไม่ถ้วนบนอินเทอร์เน็ตที่สแกน IP สาธารณะอย่างเมามันตลอด24ชั่วโมงเมื่อคุณพบว่ารหัสผ่านเซิร์ฟเวอร์ของคุณเรียบง่ายเกินไปหรือช่องโหว่ไม่ได้รับการเติมและพอร์ตเปิดอยู่ภายในครึ่งชั่วโมงเซิร์ฟเวอร์ของคุณจะกลายเป็นไก่เนื้อของคนอื่น
ความปลอดภัยไม่ใช่เรื่องเล็กน้อยบทแนะนำเชิงปฏิบัติเชิงลึกของวันนี้ไม่รวมคำเป็นภาษาพื้นถิ่นล้วนๆฉันจะสอนคุณ
5การตั้งค่าความปลอดภัยของ Alibaba Cloud ECS ที่ต้องเปิดทันที
。ใช้เวลาเพียง10นาทีในการคลุม "เสื้อผ้าเหล็ก" ทั้งห้านี้เพื่อช่วยให้คุณป้องกันการโจมตีของแฮ็กเกอร์ที่ไร้สมองได้99%
Core Defense Illustrated Book: อะไรคือจุดบอดในเซิร์ฟเวอร์ของคุณ?
แฮกเกอร์โจมตีเซิร์ฟเวอร์เช่นขโมยพวกเขามักจะผ่าน
รหัสระเบิด (ไปที่ประตู)
, ใช้ประโยชน์จากช่องโหว่ของระบบ (งัดหน้าต่าง)
หรือ
ตรวจสอบและส่งข้อมูล (ปล้นกลางคัน) เพื่อให้บรรลุเป้าหมาย
การป้องกันหลัก5ประการที่เราตั้งไว้ในวันนี้คือการช่วยคุณ Alibaba Cloud ECS เชื่อมประตูให้ตายและติดตั้งมุ้งกันขโมยบนหน้าต่าง
การตั้งค่าที่1: กฎ "กลุ่มความปลอดภัย" ที่ละเอียดอ่อน-ปิดพอร์ตที่มีความเสี่ยงสูง (จัดการประตูกันขโมย)
คำเดียว:
อย่าเปิดประตูและหน้าต่างทั้งหมดในบ้านเพียงแค่เปิดช่องว่างสำหรับผู้ที่ได้รับอนุญาตให้เข้าและออก
เพื่อประหยัดปัญหาสามเณรหลายคนได้เพิ่ม "ปล่อย" โดยตรงเมื่อตั้งค่ากลุ่มความปลอดภัย
1/65535
กฎ "พอร์ต" ซึ่งเทียบเท่ากับการถอดประตูกันขโมยโดยตรง
ทำยังไง?
ลงชื่อเข้าใช้ Alibaba Cloud Console ป้อน [Cloud Server ECS]-> [ตัวอย่าง] คลิกที่ชื่อเซิร์ฟเวอร์
เปลี่ยนเป็นแท็บ [กลุ่มความปลอดภัย] และคลิก ID กลุ่มความปลอดภัยเพื่อเข้าสู่หน้าการกำหนดค่า
ตรวจสอบกฎ [ทิศทางขาเข้า] และลบกฎ "ปล่อยทั้งหมด (0.0.0.0/0และพอร์ต ALL)" ทั้งหมด
ท่าทางที่ถูกต้อง: ใช้หลักการ "เปิดอะไร" หากเป็นเซิร์ฟเวอร์ Linux จะปล่อยเฉพาะพอร์ต22 (การเชื่อมต่อระยะไกล) หากเป็นการสร้างไซต์จะปล่อยเฉพาะพอร์ต80(HTTP) และ443(HTTPS) เท่านั้นเคล็ดลับขั้นสูง: เปลี่ยน "ออบเจ็กต์การอนุญาต" ของพอร์ต22จาก0.0.0.0/0 (เจ้าของ) เป็น IP เครือข่ายสาธารณะคงที่ของบริษัทหรือที่บ้านของคุณด้วยวิธีนี้ยกเว้นคุณไม่มีใครในอินเทอร์เน็ตสามารถเชื่อมต่อกับประตูนี้ได้
การตั้งค่าสอง: ปิดการใช้งานผู้ใช้รูทเข้าสู่ระบบเปิดใช้งานคู่คีย์ SSH (เปลี่ยนล็อคประตูแบบเก่า)
คำเดียว:
แฮกเกอร์ใช้พจนานุกรมรหัสผ่านเพื่อเดาคุณทุกวัน
ราก
รหัสผ่านของบัญชีจากนั้นเราโดยตรง
วางไว้
รูท
ซ่อนและไม่อนุญาตให้เข้าสู่ระบบด้วยรหัสผ่านคุณต้องรูด "การ์ด" (คีย์) เพื่อเข้า
เรียกว่าผู้ดูแลระบบสูงสุดเริ่มต้นของเซิร์ฟเวอร์ Linux
รูท
。เมื่อแฮ็กเกอร์ระเบิดเซิร์ฟเวอร์ชื่อบัญชีจะถูกเขียนขึ้น100%
รูท
เพียงแค่เดารหัสผ่านอย่างบ้าคลั่ง
ทำยังไง?
สร้างคู่คีย์: ค้นหา [เครือข่ายและความปลอดภัย]-> [คู่คีย์] ในเมนูด้านซ้ายของคอนโซล ECS แล้วคลิกสร้างระบบจะสร้างขึ้นโดยอัตโนมัติดาวน์โหลดไฟล์คีย์ส่วนตัวในรูปแบบ pem ลงในคอมพิวเตอร์ของคุณ (ไฟล์นี้เป็นป้ายอิเล็กทรอนิกส์ของคุณอย่าทำหาย!)
ผูกคู่คีย์: กลับไปที่รายการอินสแตนซ์ตรวจสอบเซิร์ฟเวอร์เลือก [คู่คีย์]-> [คู่คีย์ผูก] และผูกคีย์ที่สร้างขึ้นใหม่หมายเหตุ: หลังจากผูกแล้วคุณต้องรีสตาร์ทเซิร์ฟเวอร์เพื่อให้มีผล
ปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านโดยสิ้นเชิง: หลังจากเข้าสู่ระบบเซิร์ฟเวอร์ด้วยคีย์แล้วให้แก้ไขไฟล์กำหนดค่า SSH: Bashvi/etc/ssh/sshd_config ค้นหา PasswordAuthentication yes และเปลี่ยนใช่เป็นไม่ค้นหา PermitRootLogin yes พร้อมกันและเปลี่ยนเป็นไม่ (หรือปล่อยให้คีย์เข้าสู่ระบบเท่านั้น) รีสตาร์ทบริการ SSH (systemctl restart sshd) หลังจากบันทึก
ตั้งแต่นั้นมาสคริปต์ระเบิดรหัสผ่านของแฮ็กเกอร์ก็ถูกยกเลิกโดยสิ้นเชิงเนื่องจากตอนนี้เซิร์ฟเวอร์ของคุณ "รับรู้เฉพาะคีย์แต่ไม่ใช่รหัสผ่าน" หากไม่มีไฟล์ใบอนุญาตแม้ว่ารหัสผ่านจะถูกต้องคุณก็ไม่สามารถก้าวไปอีกขั้นได้
การตั้งค่า3: แก้ไขพอร์ตการเชื่อมต่อระยะไกลเริ่มต้น (ปลอมประตู)
หนึ่งประโยคที่เข้าใจได้:
พอร์ตระยะไกลเริ่มต้นของ Linux คือ
22
, Windows คือ
3389
。เหมือนกับว่าทุกคนรู้ว่าโจรจะไปที่ตาของแมวที่ทางเข้าหลักดังนั้นเราจึงเลื่อนออดไปที่หลังคา
เครื่องสแกนของเครือข่ายทั้งหมดต้องเผชิญกับ IP สาธารณะทั้งหมดทุกวัน
22
และ
3389
พอร์ตระเบิดอย่างบ้าคลั่งเราเปลี่ยนพอร์ตเป็นหมายเลขที่ไม่เป็นที่นิยม (เช่น
56789
) คุณสามารถปล่อยให้95% ของเครื่องสแกนไร้สมองกลับมามือเปล่าได้โดยตรง
ทำยังไง?
เปลี่ยนเป็น Linux
56789
ตัวอย่างพอร์ต:
ก่อนอื่นให้ไปที่ Alibaba Cloud Security Group เพิ่มกฎทิศทางการเข้าและปล่อยพอร์ต56789 (ข้อควรจำ: คุณต้องปล่อยก่อนมิฉะนั้นคุณจะขาดการติดต่อหลังจากเปลี่ยนพอร์ต!)
ลงชื่อเข้าใช้เซิร์ฟเวอร์แก้ไขไฟล์คอนฟิกูเรชัน: Bashvi /etc/ssh/sshd_config ค้นหา # Port 22ลบความคิดเห็น # และเพิ่มบรรทัดของ Port 56789ด้านล่าง
บันทึกออกและเริ่มบริการ SSH ใหม่ลองเชื่อมต่อใหม่ด้วยพอร์ตใหม่56789
หลังจากการเชื่อมต่อสำเร็จให้กลับไปที่ไฟล์กำหนดค่าเพื่อลบ Port 22และไปที่ Alibaba Cloud Security Group เพื่อลบกฎการปล่อยพอร์ต22
การตั้งค่า4: เปิด "กลยุทธ์ภาพรวมอัตโนมัติ" ฟรีทันที
(ซื้อประกันไร้กังวลตลอดชีพ)
หนึ่งประโยคที่เข้าใจได้:
ตราบใดที่มีการสำรองข้อมูลแม้ว่าเซิร์ฟเวอร์จะถูกแฮ็กเกอร์เผาคุณก็สามารถย้อนเวลากลับไปได้ในคลิกเดียวและฟื้นคืนชีพด้วยเลือด
หลายคนกำลังทำ
การซื้อด้วยบัญชีอาลีคลาวด์
ความสำคัญของการสำรองข้อมูลจะถูกละเว้นเมื่อคุณพบ ransomware หรือลบฐานข้อมูลโดยไม่ได้ตั้งใจ (rm -rf /* ในตำนาน) การไม่มีข้อมูลสำรองหมายถึงการล้มละลายโดยสิ้นเชิง
ทำยังไง?
ค้นหา [Storage and Snapshot]-> [Automatic Snapshot Policy] ในเมนูด้านซ้ายของคอนโซล ECS
คลิก [Create Policy] เพื่อตั้งชื่อ (เช่น "Daily Core Backup")
การตั้งค่ากลยุทธ์: ขอแนะนำให้ตั้งค่าให้ดำเนินการโดยอัตโนมัติในเวลา02:00น. หรือ03:00น. (ช่วงเวลาธุรกิจต่ำ) ทุกวันและกำหนดเวลาการเก็บรักษาไว้ที่7วันหรือ14วัน
คลิก [ตัวอย่างแอปพลิเคชัน] เพื่อตรวจสอบดิสก์ระบบและดิสก์ข้อมูลที่คุณกำลังทำงานอยู่
ตอนนี้ Alibaba Cloud จะถ่ายภาพ "ทั้งตัว" บนฮาร์ดไดรฟ์ของคุณอย่างเงียบๆทุกคืนในกรณีที่เซิร์ฟเวอร์พลิกคว่ำในวันหนึ่งคุณจะต้องไปที่คอนโซลและคลิกที่ [Reunion Cloud Disk] และข้อมูลทั้งหมดจะกลับมาเหมือนเดิมภายใน5นาที
การตั้งค่าที่5: เปิดใช้งาน Cloud Security Center (ใส่บอดี้การ์ดส่วนตัวออนไลน์ตลอด24ชั่วโมง)
หนึ่งประโยคที่เข้าใจได้:
Alibaba Cloud มอบ "Cloud 360" อย่างเป็นทางการซึ่งสามารถช่วยคุณตรวจสอบได้ว่ามีใครกำลังถอดรหัสรหัสผ่านอย่างรุนแรงหรือไม่และมีม้าโทรจันวิ่งอยู่หรือไม่
Alibaba Cloud ฝังส่วนประกอบการป้องกันความปลอดภัยที่มีน้ำหนักเบาไว้ใน ECS ทั้งหมดโดยค่าเริ่มต้นผลิตภัณฑ์คอนโซลที่เกี่ยวข้องเรียกว่า
ศูนย์ความปลอดภัยระบบคลาวด์
(รุ่นพื้นฐานเป็นสมบูรณ์ฟรี)
ทำยังไง?
ป้อน [Cloud Security Center] ในแถบค้นหาที่ด้านบนของเว็บไซต์อย่างเป็นทางการของ Alibaba Cloud เพื่อเข้าสู่คอนโซล
ใน [Asset Center] ตรวจสอบให้แน่ใจว่าอินสแตนซ์ ECS ของคุณอยู่ในสถานะ "ป้องกัน"
ป้อน [Security Alert Processing] ที่นี่คุณจะเห็นได้อย่างชัดเจนว่า IP ในต่างประเทศใดที่พยายามระเบิดรหัสผ่านของคุณและมีการดักจับกี่ครั้งในช่วงไม่กี่วันที่ผ่านมา
เปิดการแจ้งเตือน: ขอแนะนำอย่างยิ่งให้เข้าสู่การตั้งค่าและผูกหมายเลขโทรศัพท์มือถือของคุณหรือ WeChat/Dingding เมื่อเซิร์ฟเวอร์เข้าสู่ระบบจากระยะไกลหรือตรวจพบการทำงานของสคริปต์ที่เป็นอันตราย Alibaba Cloud จะส่งข้อความเตือนคุณภายในไม่กี่วินาทีเพื่อให้คุณสามารถออนไลน์ได้โดยเร็วที่สุดเพื่อตัดเครือข่ายและหยุดการสูญเสีย
สรุป: สูตรป้องกันการพลิกคว่ำสำหรับมือใหม่
การป้องกันความปลอดภัยไม่ใช่เทคโนโลยีเพียงครั้งเดียวแต่เป็นนิสัยการใช้งานและการบำรุงรักษาที่ดีเสร็จสิ้น
การซื้อด้วยบัญชีอาลีคลาวด์
หลังจากนั้นโปรดจำการกระทำที่ปลอดภัยทั้งห้านี้เช่นท่องสูตรการคูณ:
กลุ่มความปลอดภัยควรมีความคล่องตัวและไม่ควรเปิดพอร์ตที่มีความเสี่ยงสูง
ควรซ่อนบัญชีรูทและการเข้าสู่ระบบขึ้นอยู่กับการล็อกรหัสผ่าน (คีย์)
ต้องเปลี่ยนพอร์ตเริ่มต้นและไม่พบการสแกนของแฮ็กเกอร์
สแนปชอตอัตโนมัติเปิดทุกวันและคุณสามารถกินยาเสียใจได้เมื่อโรลโอเวอร์
ศูนย์รักษาความปลอดภัยมักจะตรวจสอบและการเข้าสู่ระบบจากระยะไกลจะถูกตัดการเชื่อมต่อทันที
ใช้เวลาสิบนาทีในการกำหนดค่าการป้องกันทั้งห้านี้และเซิร์ฟเวอร์คลาวด์ของคุณจะเป็นเหมือนป้อมปราการที่แข็งแกร่งปล่อยให้ลมและคลื่นลอยขึ้นนั่งอย่างมั่นคงบนเตียวหยูไท่ตรวจสอบคอนโซล Alibaba Cloud ของคุณ!
