การซื้อบัญชี Alibaba Cloud: 5การตั้งค่าการป้องกันความปลอดภัย Alibaba Cloud ECS ที่ต้องเปิดทันที!!

เมฆ 2026-06-25 阅读 16
cloud

ในแวดวงการประมวลผลแบบคลาวด์มักจะได้ยินโศกนาฏกรรมดังกล่าว:

"เซิร์ฟเวอร์ที่ฉันเพิ่งซื้อถูกฝังด้วยม้าโทรจันในการขุดก่อนที่จะดำเนินธุรกิจและ CPU 100% ทุกวัน!"

"ฐานข้อมูลถูกแฮ็กเกอร์แบล็กเมล์และต้องจ่าย Bitcoin เพื่อปลดล็อกไฟล์ฉันควรทำอย่างไร"

จำนวนมากเพิ่งเสร็จสิ้น

การซื้อด้วยบัญชีอาลีคลาวด์

สามเณรมักทุ่มเทแรงกายแรงใจในการปรับใช้เว็บไซต์และรหัสการกำหนดค่าแต่โยนเซิร์ฟเวอร์ลงบนเครือข่ายสาธารณะโดยตรงเหมือน "เด็กเปลือย"

คุณต้องรู้ว่ามีสคริปต์อัตโนมัติของแฮ็กเกอร์จำนวนนับไม่ถ้วนบนอินเทอร์เน็ตที่สแกน IP สาธารณะอย่างเมามันตลอด24ชั่วโมงเมื่อคุณพบว่ารหัสผ่านเซิร์ฟเวอร์ของคุณเรียบง่ายเกินไปหรือช่องโหว่ไม่ได้รับการเติมและพอร์ตเปิดอยู่ภายในครึ่งชั่วโมงเซิร์ฟเวอร์ของคุณจะกลายเป็นไก่เนื้อของคนอื่น

ความปลอดภัยไม่ใช่เรื่องเล็กน้อยบทแนะนำเชิงปฏิบัติเชิงลึกของวันนี้ไม่รวมคำเป็นภาษาพื้นถิ่นล้วนๆฉันจะสอนคุณ

5การตั้งค่าความปลอดภัยของ Alibaba Cloud ECS ที่ต้องเปิดทันที

。ใช้เวลาเพียง10นาทีในการคลุม "เสื้อผ้าเหล็ก" ทั้งห้านี้เพื่อช่วยให้คุณป้องกันการโจมตีของแฮ็กเกอร์ที่ไร้สมองได้99%

Core Defense Illustrated Book: อะไรคือจุดบอดในเซิร์ฟเวอร์ของคุณ?

แฮกเกอร์โจมตีเซิร์ฟเวอร์เช่นขโมยพวกเขามักจะผ่าน

รหัสระเบิด (ไปที่ประตู)

, ใช้ประโยชน์จากช่องโหว่ของระบบ (งัดหน้าต่าง)

หรือ

ตรวจสอบและส่งข้อมูล (ปล้นกลางคัน) เพื่อให้บรรลุเป้าหมาย

การป้องกันหลัก5ประการที่เราตั้งไว้ในวันนี้คือการช่วยคุณ Alibaba Cloud ECS เชื่อมประตูให้ตายและติดตั้งมุ้งกันขโมยบนหน้าต่าง

การตั้งค่าที่1: กฎ "กลุ่มความปลอดภัย" ที่ละเอียดอ่อน-ปิดพอร์ตที่มีความเสี่ยงสูง (จัดการประตูกันขโมย)

คำเดียว:

อย่าเปิดประตูและหน้าต่างทั้งหมดในบ้านเพียงแค่เปิดช่องว่างสำหรับผู้ที่ได้รับอนุญาตให้เข้าและออก

เพื่อประหยัดปัญหาสามเณรหลายคนได้เพิ่ม "ปล่อย" โดยตรงเมื่อตั้งค่ากลุ่มความปลอดภัย

1/65535

กฎ "พอร์ต" ซึ่งเทียบเท่ากับการถอดประตูกันขโมยโดยตรง

ทำยังไง?

ลงชื่อเข้าใช้ Alibaba Cloud Console ป้อน [Cloud Server ECS]-> [ตัวอย่าง] คลิกที่ชื่อเซิร์ฟเวอร์

เปลี่ยนเป็นแท็บ [กลุ่มความปลอดภัย] และคลิก ID กลุ่มความปลอดภัยเพื่อเข้าสู่หน้าการกำหนดค่า

ตรวจสอบกฎ [ทิศทางขาเข้า] และลบกฎ "ปล่อยทั้งหมด (0.0.0.0/0และพอร์ต ALL)" ทั้งหมด

ท่าทางที่ถูกต้อง: ใช้หลักการ "เปิดอะไร" หากเป็นเซิร์ฟเวอร์ Linux จะปล่อยเฉพาะพอร์ต22 (การเชื่อมต่อระยะไกล) หากเป็นการสร้างไซต์จะปล่อยเฉพาะพอร์ต80(HTTP) และ443(HTTPS) เท่านั้นเคล็ดลับขั้นสูง: เปลี่ยน "ออบเจ็กต์การอนุญาต" ของพอร์ต22จาก0.0.0.0/0 (เจ้าของ) เป็น IP เครือข่ายสาธารณะคงที่ของบริษัทหรือที่บ้านของคุณด้วยวิธีนี้ยกเว้นคุณไม่มีใครในอินเทอร์เน็ตสามารถเชื่อมต่อกับประตูนี้ได้

การตั้งค่าสอง: ปิดการใช้งานผู้ใช้รูทเข้าสู่ระบบเปิดใช้งานคู่คีย์ SSH (เปลี่ยนล็อคประตูแบบเก่า)

คำเดียว:

แฮกเกอร์ใช้พจนานุกรมรหัสผ่านเพื่อเดาคุณทุกวัน

ราก

รหัสผ่านของบัญชีจากนั้นเราโดยตรง

วางไว้

รูท

ซ่อนและไม่อนุญาตให้เข้าสู่ระบบด้วยรหัสผ่านคุณต้องรูด "การ์ด" (คีย์) เพื่อเข้า

เรียกว่าผู้ดูแลระบบสูงสุดเริ่มต้นของเซิร์ฟเวอร์ Linux

รูท

。เมื่อแฮ็กเกอร์ระเบิดเซิร์ฟเวอร์ชื่อบัญชีจะถูกเขียนขึ้น100%

รูท

เพียงแค่เดารหัสผ่านอย่างบ้าคลั่ง

ทำยังไง?

สร้างคู่คีย์: ค้นหา [เครือข่ายและความปลอดภัย]-> [คู่คีย์] ในเมนูด้านซ้ายของคอนโซล ECS แล้วคลิกสร้างระบบจะสร้างขึ้นโดยอัตโนมัติดาวน์โหลดไฟล์คีย์ส่วนตัวในรูปแบบ pem ลงในคอมพิวเตอร์ของคุณ (ไฟล์นี้เป็นป้ายอิเล็กทรอนิกส์ของคุณอย่าทำหาย!)

ผูกคู่คีย์: กลับไปที่รายการอินสแตนซ์ตรวจสอบเซิร์ฟเวอร์เลือก [คู่คีย์]-> [คู่คีย์ผูก] และผูกคีย์ที่สร้างขึ้นใหม่หมายเหตุ: หลังจากผูกแล้วคุณต้องรีสตาร์ทเซิร์ฟเวอร์เพื่อให้มีผล

ปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านโดยสิ้นเชิง: หลังจากเข้าสู่ระบบเซิร์ฟเวอร์ด้วยคีย์แล้วให้แก้ไขไฟล์กำหนดค่า SSH: Bashvi/etc/ssh/sshd_config ค้นหา PasswordAuthentication yes และเปลี่ยนใช่เป็นไม่ค้นหา PermitRootLogin yes พร้อมกันและเปลี่ยนเป็นไม่ (หรือปล่อยให้คีย์เข้าสู่ระบบเท่านั้น) รีสตาร์ทบริการ SSH (systemctl restart sshd) หลังจากบันทึก

ตั้งแต่นั้นมาสคริปต์ระเบิดรหัสผ่านของแฮ็กเกอร์ก็ถูกยกเลิกโดยสิ้นเชิงเนื่องจากตอนนี้เซิร์ฟเวอร์ของคุณ "รับรู้เฉพาะคีย์แต่ไม่ใช่รหัสผ่าน" หากไม่มีไฟล์ใบอนุญาตแม้ว่ารหัสผ่านจะถูกต้องคุณก็ไม่สามารถก้าวไปอีกขั้นได้

การตั้งค่า3: แก้ไขพอร์ตการเชื่อมต่อระยะไกลเริ่มต้น (ปลอมประตู)

หนึ่งประโยคที่เข้าใจได้:

พอร์ตระยะไกลเริ่มต้นของ Linux คือ

22

, Windows คือ

3389

。เหมือนกับว่าทุกคนรู้ว่าโจรจะไปที่ตาของแมวที่ทางเข้าหลักดังนั้นเราจึงเลื่อนออดไปที่หลังคา

เครื่องสแกนของเครือข่ายทั้งหมดต้องเผชิญกับ IP สาธารณะทั้งหมดทุกวัน

22

และ

3389

พอร์ตระเบิดอย่างบ้าคลั่งเราเปลี่ยนพอร์ตเป็นหมายเลขที่ไม่เป็นที่นิยม (เช่น

56789

) คุณสามารถปล่อยให้95% ของเครื่องสแกนไร้สมองกลับมามือเปล่าได้โดยตรง

ทำยังไง?

เปลี่ยนเป็น Linux

56789

ตัวอย่างพอร์ต:

ก่อนอื่นให้ไปที่ Alibaba Cloud Security Group เพิ่มกฎทิศทางการเข้าและปล่อยพอร์ต56789 (ข้อควรจำ: คุณต้องปล่อยก่อนมิฉะนั้นคุณจะขาดการติดต่อหลังจากเปลี่ยนพอร์ต!)

ลงชื่อเข้าใช้เซิร์ฟเวอร์แก้ไขไฟล์คอนฟิกูเรชัน: Bashvi /etc/ssh/sshd_config ค้นหา # Port 22ลบความคิดเห็น # และเพิ่มบรรทัดของ Port 56789ด้านล่าง

บันทึกออกและเริ่มบริการ SSH ใหม่ลองเชื่อมต่อใหม่ด้วยพอร์ตใหม่56789

หลังจากการเชื่อมต่อสำเร็จให้กลับไปที่ไฟล์กำหนดค่าเพื่อลบ Port 22และไปที่ Alibaba Cloud Security Group เพื่อลบกฎการปล่อยพอร์ต22

การตั้งค่า4: เปิด "กลยุทธ์ภาพรวมอัตโนมัติ" ฟรีทันที

(ซื้อประกันไร้กังวลตลอดชีพ)

หนึ่งประโยคที่เข้าใจได้:

ตราบใดที่มีการสำรองข้อมูลแม้ว่าเซิร์ฟเวอร์จะถูกแฮ็กเกอร์เผาคุณก็สามารถย้อนเวลากลับไปได้ในคลิกเดียวและฟื้นคืนชีพด้วยเลือด

หลายคนกำลังทำ

การซื้อด้วยบัญชีอาลีคลาวด์

ความสำคัญของการสำรองข้อมูลจะถูกละเว้นเมื่อคุณพบ ransomware หรือลบฐานข้อมูลโดยไม่ได้ตั้งใจ (rm -rf /* ในตำนาน) การไม่มีข้อมูลสำรองหมายถึงการล้มละลายโดยสิ้นเชิง

ทำยังไง?

ค้นหา [Storage and Snapshot]-> [Automatic Snapshot Policy] ในเมนูด้านซ้ายของคอนโซล ECS

คลิก [Create Policy] เพื่อตั้งชื่อ (เช่น "Daily Core Backup")

การตั้งค่ากลยุทธ์: ขอแนะนำให้ตั้งค่าให้ดำเนินการโดยอัตโนมัติในเวลา02:00น. หรือ03:00น. (ช่วงเวลาธุรกิจต่ำ) ทุกวันและกำหนดเวลาการเก็บรักษาไว้ที่7วันหรือ14วัน

คลิก [ตัวอย่างแอปพลิเคชัน] เพื่อตรวจสอบดิสก์ระบบและดิสก์ข้อมูลที่คุณกำลังทำงานอยู่

ตอนนี้ Alibaba Cloud จะถ่ายภาพ "ทั้งตัว" บนฮาร์ดไดรฟ์ของคุณอย่างเงียบๆทุกคืนในกรณีที่เซิร์ฟเวอร์พลิกคว่ำในวันหนึ่งคุณจะต้องไปที่คอนโซลและคลิกที่ [Reunion Cloud Disk] และข้อมูลทั้งหมดจะกลับมาเหมือนเดิมภายใน5นาที

การตั้งค่าที่5: เปิดใช้งาน Cloud Security Center (ใส่บอดี้การ์ดส่วนตัวออนไลน์ตลอด24ชั่วโมง)

หนึ่งประโยคที่เข้าใจได้:

Alibaba Cloud มอบ "Cloud 360" อย่างเป็นทางการซึ่งสามารถช่วยคุณตรวจสอบได้ว่ามีใครกำลังถอดรหัสรหัสผ่านอย่างรุนแรงหรือไม่และมีม้าโทรจันวิ่งอยู่หรือไม่

Alibaba Cloud ฝังส่วนประกอบการป้องกันความปลอดภัยที่มีน้ำหนักเบาไว้ใน ECS ทั้งหมดโดยค่าเริ่มต้นผลิตภัณฑ์คอนโซลที่เกี่ยวข้องเรียกว่า

ศูนย์ความปลอดภัยระบบคลาวด์

(รุ่นพื้นฐานเป็นสมบูรณ์ฟรี)

ทำยังไง?

ป้อน [Cloud Security Center] ในแถบค้นหาที่ด้านบนของเว็บไซต์อย่างเป็นทางการของ Alibaba Cloud เพื่อเข้าสู่คอนโซล

ใน [Asset Center] ตรวจสอบให้แน่ใจว่าอินสแตนซ์ ECS ของคุณอยู่ในสถานะ "ป้องกัน"

ป้อน [Security Alert Processing] ที่นี่คุณจะเห็นได้อย่างชัดเจนว่า IP ในต่างประเทศใดที่พยายามระเบิดรหัสผ่านของคุณและมีการดักจับกี่ครั้งในช่วงไม่กี่วันที่ผ่านมา

เปิดการแจ้งเตือน: ขอแนะนำอย่างยิ่งให้เข้าสู่การตั้งค่าและผูกหมายเลขโทรศัพท์มือถือของคุณหรือ WeChat/Dingding เมื่อเซิร์ฟเวอร์เข้าสู่ระบบจากระยะไกลหรือตรวจพบการทำงานของสคริปต์ที่เป็นอันตราย Alibaba Cloud จะส่งข้อความเตือนคุณภายในไม่กี่วินาทีเพื่อให้คุณสามารถออนไลน์ได้โดยเร็วที่สุดเพื่อตัดเครือข่ายและหยุดการสูญเสีย

สรุป: สูตรป้องกันการพลิกคว่ำสำหรับมือใหม่

การป้องกันความปลอดภัยไม่ใช่เทคโนโลยีเพียงครั้งเดียวแต่เป็นนิสัยการใช้งานและการบำรุงรักษาที่ดีเสร็จสิ้น

การซื้อด้วยบัญชีอาลีคลาวด์

หลังจากนั้นโปรดจำการกระทำที่ปลอดภัยทั้งห้านี้เช่นท่องสูตรการคูณ:

กลุ่มความปลอดภัยควรมีความคล่องตัวและไม่ควรเปิดพอร์ตที่มีความเสี่ยงสูง

ควรซ่อนบัญชีรูทและการเข้าสู่ระบบขึ้นอยู่กับการล็อกรหัสผ่าน (คีย์)

ต้องเปลี่ยนพอร์ตเริ่มต้นและไม่พบการสแกนของแฮ็กเกอร์

สแนปชอตอัตโนมัติเปิดทุกวันและคุณสามารถกินยาเสียใจได้เมื่อโรลโอเวอร์

ศูนย์รักษาความปลอดภัยมักจะตรวจสอบและการเข้าสู่ระบบจากระยะไกลจะถูกตัดการเชื่อมต่อทันที

ใช้เวลาสิบนาทีในการกำหนดค่าการป้องกันทั้งห้านี้และเซิร์ฟเวอร์คลาวด์ของคุณจะเป็นเหมือนป้อมปราการที่แข็งแกร่งปล่อยให้ลมและคลื่นลอยขึ้นนั่งอย่างมั่นคงบนเตียวหยูไท่ตรวจสอบคอนโซล Alibaba Cloud ของคุณ!

cloud
← 返回新闻中心