阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 37976阅读
  • 38回复

新手必看:云盾及ecs基础安全设置教程

级别: 技术砖家
发帖
1925
云币
3578
本文重在一片帖子解决基础的安全问题,篇幅较长请谅解。 >aW|W!.  
'!Ps4ZTn_  
云盾的介绍和开通,官方介绍: MVg`6&oH  
http://www.aliyun.com/product/yundun/?spm=5176.383345.201.10.xMmwxW Wa #,>  
%1gJOV  
\3n{%\_  
开通之后,云盾会默认对你账户下所有的服务器进行检测,当你登陆云盾的时候,就能看到: aO.'(kk8  
/O|!Sg{  
N?Mmv|  
这表明你的服务器是安全的。 [6V'UI6  
云盾的设置官方有非常详细的说明,建议大家仔细去看看,我在这里不再阐述这些,而是做一些补充说明: kMKI=>s+  
a({qc0+UK  
hghtF  
->n<9  
J9)wt ?%j  
k^Tu9}[W1  
pWSYbN+d  
?4Lb*{R  
h#zx^F1  
一:防ddos服务 @pQv}%  
防御ddos服务是否需要去修改高级配置? EhEn|%S  
答:默认一般不需要去动,不懂得话乱设置会导致正常ip都无法访问,云盾这个功能默认已经足够满足大部分网站需求了。 MVjc.^  
什么状况下需要修改呢?当你看到:防ddos服务总览里面有很多攻击信息,并且网站访问你感觉已经和平常速度有很大不同的时候。 UYW%% 5p?  
至于修改到什么程度,具体的去咨询官方技术支持,因为承受的攻击量不同,相应的设置也不同,建议后台工单发送详细数据咨询。 Q}^ n  
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- $^IuE0.  
-kES]P?2  
(Ew o   
二:主机密码破解防御 NhCO C  
1:主机密码破解防御为什么显示有那么多的暴力破解, cmt3ceCb  
2:甚至还有破解成功的? ?XsL4HI x  
3:我是否需要换一个远程端口?换了端口是否就真的安全? + h`:qB  
4:如何换端口? qz E/n   
a: iIfdd4'  
答: & ?/h5<  
1:暴力破解远程端口,是非常常见的攻击手段,被暴力破解在云盾的防护下并不可怕,因为同一ip持续攻击你的远程端口,云盾就会自动去屏蔽这个ip而起到防护作用,但是有一点要非常注意,就是你的服务器密码必须足够强壮,很多人都会犯同一种错误,例如把自己服务器密码设置为名字加年月的,甚至有一些直接密码是:admin,admin888,诸如此类都是完全不可取的。 HGWwGd  
密码必须足够复杂,有大写,有小写,有数字,有特殊字符,并且还要足够的长。我的服务器密码,没有一个是靠我自己脑子能记住的。 o80pmy7@  
密码必须定期更换,在符合上述策略的情况下我推荐至少每个季度要更换一次密码。 tFwQ /  
所以在你密码足够强壮的同时加上云盾的防护,可以极大程度确保你服务器的安全性。 Br]VCp   
^>GL<1 1  
---------------------------------------------------------------------------- j2qDRI  
2:有暴力破解成功的? da\K>An>  
答:这种情况往往是由于你密码不够强壮而导致,遇到这种情况,首先确保你数据的安全性,我的建议有2种: Y4@~NCU/  
一)立刻备份数据到本地进行扫描,看是否被挂马,同时还原服务器所有磁盘,然后配上足够强壮的密码,重新配置环境后将确认安全的数据上传重新开启网站。 ~#I1!y~`  
二)在服务器端直接扫描服务器安全和网站木马漏洞,这个时候需要第三方安全软件支持,win主机会比较好办,支持软件较多,我推荐使用服务器安全狗和搭配的网站安全狗。而linux服务器国内支持的安全软件较少,具备这方面功能的更是少之又少,而且木马库更新不及时,如果第一种方式实在无法操作的情况下,可依靠其他云盾中对应的功能进行解决,云盾会自动扫描,后面也会提到。 g.DgJX&i  
akm)X0!-}  
---------------------------------------------------------------------------- gD=s~DgN)  
3:是否需要更换一个远程访问端口?换了端口就真的安全了? ~lCG37  
答:个人建议不必更换远程端口,虽然默认端口遭受攻击的可能性更大,你换了一个端口然后在云盾中查看发现攻击数为0了,在你满心欢心的时候你要知道攻击者大部分都会扫描你服务器端口的,并不是你换了端口别人就无法发现了,而且你更换端口之后还会使云盾本来对你提供的防护失效,这样实际上危险系数是直线上升的!得不偿失!!! ]_d(YHYf  
}-zx4<4BH  
---------------------------------------------------------------------------- t@}<&{zk  
4:如何更换端口? feNr!/  
答:如果你看了我上面写了这么多,依然还要坚持更换端口,那么。。。。 p]!,Bo ZL  
换端口的方法百度有很多,官方基础服务里面有也服务商提供,价格不贵,此处不多说。 >P\T nb"Q\  
kG?tgO?*  
b ";#qVv C  
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- K W04  
三:网站后门检测 l-t:7`=|  
四:异地登陆提醒 CG=#rc]vz  
这两点没有什么好补充的,里面也非常简单明了,有什么不明白的看官方说明。 bn<&Xe  
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- mWmDH74  
五:网站安全防御(简称WAF) 5? c4aAn  
这个功能的作用不亚于防御ddos或cc攻击,网站后台被入侵,数据库被入侵,其实都可以依靠waf来进行防御,因为waf的防御策略就是在域名访问的时候对攻击手段进行阻止,所以我强烈建议各位将www的解析cname到waf上。具体的操作在后台表达的非常简单明了,大家仔细看看就懂了。 w$Dp m.0(  
有关waf的介绍:Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 5uDQ*nJ|  
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- @sfV hWG  
;-*4 (3lu  
V_+3@C  
六:端口安全检测 $|(roC(  
Ao{wd1  
,Oxdqxu7  
这个界面相信大家只要网站正常运行的时候,都能看到类似的提醒,你可以对检测出来的端口做出相应的处理。 N1LR _vS"  
那么什么样的端口是需要关闭?什么样的端口又是应该忽略的呢? %NeKDE  
首先你需要了解, gkBat(Uc  
windows服务器远程桌面默认端口:3389, _$cQAH0 E  
linux远程端口ssh:22, 3D<P [.bS  
web也就是网站访问端口80 Em4TEv  
这些都是默认开放,但端口扫描并不显示的,因为这是必须开放的端口。 D#(A?oN  
tQ`tHe  
ShCAkaj_  
那么常见的还应该开放的有: dR$P-V\y`%  
3306端口---这是mysql服务端口,停掉了数据库没法用了。 _BR>- :Jr  
21端口------这是ftp服务端口,停掉了ftp也无法使用。 : FxZdE  
如果你做的是邮件服务器,可能还有25或465这样的端口需要开放。 ge[\%  
nHZ 4):`  
y99G3t  
如果你使用linux环境面板,那么面板控制台会开放一个端口,例如主机宝开放:9999,AMH开放:8888,WDCP面板开放:8080,这些端口都是需要开放的,否则你面板无法访问,但是面板的端口是可以更改的,这个我后面会提到。 ^GRd;v=-@  
X-n'?=  
S;|%'Sn|j9  
除了这些常见的和你所了解的必须开放的端口,其他的端口在此处显示的时候,你就需要立刻去了解一下该端口对应的是什么了,端口控制的原则就是在不影响你使用的情况下,尽量少的开放端口。 zaoZCyJT%  
云盾的端口检测和设置可直接作用于ecs主机,所以你没有必要再云盾上关闭一个端口,又跑去ecs上关闭一个端口。 |$1j;#h  
4=q\CK2^A  
oxGOn('  
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- T \0e8"iZ  
七:web漏洞检测 N4HnW0  
八:网页木马检测 F'SOl*v(s5  
这两个我放在一起说,做web的,一定要经常关注这两项,漏洞和木马一旦检测到了,就说明已经存在了,这个问题已经非常严重了,一定要及时立刻马上的去根据检测结果修复漏洞清除木马,具体办法我后面会说到。 4[Oy3.-c  
云盾目前这两个功能还只是检测范围,没有办法进行防御,不过基于云盾的防火墙会在近期推出,帮助大家进一步的做好防护工作。 >aa-ix &  
}]g>PY  
DVpqm6$ Q  
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- :j9;P7&"?  
*a$z!Ma3h  
Q >sq:R+'  
关于云盾的操作介绍完了,下面我们来介绍一下ecs上的防护策略 A>d*<#x  
首先说个话题,很多人问我,什么服务器系统最安全?是不是linux比windows更加安全? ^-=,q.[7  
我这里详细的说一下:为什么windows系统的病毒木马更多?那是因为使用windows的人多,开发win木马病毒的人自然也多,但是同理,做防护的厂商自然也是支持win系统的更多,这一点在国内尤其凸显,要知道出现一个病毒木马的时候,安全厂商的响应速度是尤为重要的,在国内还有几家做win系统服务器防护的厂商不错的,而针对linux的寥寥可数,更不用去提什么响应速度了,所以我建议新手朋友们推荐win主机这也是一个重要的因素。 Cu/w><h)  
1h)I&T"kZ  
o ue;$8  
win主机我自己使用的过程中唯一让我满意的就是服务器安全狗,可以说这软件也是目前在win服务器防御上做的最好的,而且有良好的上升趋势,这就保障了病毒木马库可以持续的更新,及时的防御最新的病毒木马。 <Pf W  
服务器安全狗 网站安全狗 云备份,是目前国内win主机上可以提供最好的防护了,强烈推荐大家使用。 4; &(  
W6wgX0H  
1}V_:~7  
至于linux服务器,虽然有一些防护软件,包括上诉提到的安全狗也有linux版的,但我个人觉得作用并不大,更多的还是可以依靠云盾来进行防护,而且根据我和官方的沟通了解到,云盾对于这方面的支持也会加快进度,越来越好,大家可以好好期待。 hg\$>W~ 2  
tSQ>P -O  
le8n!Dk(  
下面我拟一些常见问题,自问自答方便大家了解: w/Q'T&>b/  
问:用win服务器并且配置了安全狗或其他安全软件,开启了云盾的waf,可是网站却无法访问? $=H\#e)]Ug  
答:官方有说明:http://help.aliyun.com/view/13444229.html [>6:xGSe9X  
seq S*^7  
v)X1R/z5xw  
问:用win服务器是不是配置了安全软件和云盾就可以完全不用担心被攻击了? $Cf_RFH0  
答:魔高一尺道高一丈,攻击和防御总是在交替中上升等级,依托于防护软件是一方面,自己做好网站的安全也是尤为重要的,我前面提到的服务器的密码要足够强壮,同理网站的密码也要足够强壮。 ) 8LCmvQ  
网站管理密码强壮的前提是选择一个靠谱的程序,尽量选择大开发商所提供的程序,大开发商对自己主要产品的漏洞更新也是比较及时的,另外如果是有自己二次开发必要的,选开源的最好。 #M8"b]oh6  
不要去安装什么破解版程序,千万不要,基本都有漏洞或木马/后门。 TQnMPELh"  
xT=|Uc0  
bh_i*DJ]  
问:linux服务器就只能依靠云盾了么? JY%c<  
答:你当然可以去安装一些例如安全狗的linux安全软件,只是我觉得按照linux自带防火墙默认的安全性加上云盾已经很不错了。 odj|" ZK  
 !@bN  
K4l,YR;r  
问:linux服务器安装面板之后需要操作什么增加安全性? N5oao'7|A  
答:保障密码强度的同时,修改面板用户名,修改面板访问端口,修改ftp端口,这些虽然不是每个面板都完全支持,但是能改多少改多少。 )e{~x u  
面板用户名可以改的类似密码那么复杂 J6::(0HM  
修改面板访问端口之后,切勿在云盾中关闭该新端口,新端口可正常访问了,可在云盾中关闭老端口,切记。 -*tP_=-Dg  
修改ftp端口和上一条同理,而且要记得你使用的ftp软件中,默认是21端口,记得修改哦:) j7O7P+DmS  
mqtl0P0  
HH[?LKd<  
我来总结一下: G?8,&jP~T  
服务器端口开放的越少越好, \ Fc"Q@.u  
密码越长越复杂越好(某些程序或服务器对密码长度有限制,在限制长度内即可), e9N 1xB  
WAF要开启, #9p{Y}2#  
任何类型的服务器插件或程序插件能不装的就不装 VJJw"4DJ  
选择适合的安全软件作为补充防御, | \Qr cf  
选择优秀的程序并及时更新补丁 ks'25tv}F  
定期做备份,以防万一。 :^?ZVi59j  
.F}ZP0THnZ  
VU)ywIs  
关于安全防御我这次就写到这里,希望对大家有一些帮助,手都抽筋了,喜欢或觉得有帮助的朋友回个帖支持一下吧!!! ;xwa,1]  
{w{|y[[d~  
N6yqA)z?;  
本人文章相关索引: \+S~N:@><k  
IXX^C}\,  
第一篇:阿里云PHP环境(主机宝--AMH--WDCP)操作说明及横向对比Nginx + Apache[wdcp自带] + MySQL + PHP #!9aTp).AL  
http://bbs.aliyun.com/read/152692.html?spm=5176.383345.0.0.cdMjot    1<fEz  
第二篇:云盾及ecs基础安全设置教程 mVU(u_lh  
http://bbs.aliyun.com/read/152729.html?spm=5176.383345.0.0.zXph4m    a<c %Xy/  
第三篇:新网站如何定位,建设,运营 g24)GjDi  
http://bbs.aliyun.com/read/152796.html?spm=5176.383345.0.0.R1G0iN&fpage=2 K3'`!Ka*  
lXL\e(ow  
阿里云----网站优化SEO实战篇 Qh)@-r3  
http://bbs.aliyun.com/read/154924.html?spm=0.0.0.0.M6kOJw 0>Ecm#  
*F~"4g  
)"|g&=  
[ 此帖被林林林在2014-04-03 18:01重新编辑 ]
本帖最近评分记录: 1 条评分 云币 +5
千鸟 云币 +5 你是我偶像 2014-03-21
级别: 新人
发帖
14
云币
14
只看该作者 沙发  发表于: 2014-03-03
Re【晒安全,赢大奖】安全故事分享和云盾及ecs基础安全设置教程
第一时间来论坛支持林林林
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 板凳  发表于: 2014-03-03
回1楼ali3510946的帖子
多谢捧场,哈哈哈
级别: 码农
发帖
213
云币
229
只看该作者 地板  发表于: 2014-03-03
说好的顶三下。。。。。。。
级别: 新人
发帖
14
云币
14
只看该作者 4楼 发表于: 2014-03-03
Re【晒安全,赢大奖】安全故事分享和云盾及ecs基础安全设置教程
主要还是写得很贴切,易学,真不错,再支持
级别: 码农
发帖
125
云币
14
只看该作者 5楼 发表于: 2014-03-03
Re【晒安全,赢大奖】安全故事分享和云盾及ecs基础安全设置教程
支持支持
级别: 技术砖家
发帖
912
云币
35
只看该作者 6楼 发表于: 2014-03-04
楼主辛苦了 一篇篇看下去 支持
级别: 小白
发帖
27
云币
96
只看该作者 7楼 发表于: 2014-03-04
Re【晒安全,赢大奖】安全故事分享和云盾及ecs基础安全设置教程
非常好的
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 8楼 发表于: 2014-03-07
回 7楼(jqueryba) 的帖子
谢谢,如果每个读者都像你,我想我会愿意每天都写得。。。
级别: 技术砖家
发帖
912
云币
35
只看该作者 9楼 发表于: 2014-03-08
回 9楼(林林林) 的帖子
天天有干货 天天去拜读 记得群里通知下
级别: 小白
发帖
36
云币
45
只看该作者 10楼 发表于: 2014-03-13
Re【晒安全,赢大奖】安全故事分享和云盾及ecs基础安全设置教程
学习了,请问 像第三方的,安全宝,360网站安全检测,是否需要用?
级别: 小白
发帖
36
云币
45
只看该作者 11楼 发表于: 2014-03-13
Re【晒安全,赢大奖】安全故事分享和云盾及ecs基础安全设置教程
对了,再请教一个问题,就是在 LINUX下 备份网站,用什么软件??
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 12楼 发表于: 2014-03-15
回 12楼(灰色状态) 的帖子
第三方安全检查,没有必要,因为云盾带了检测功能。 slRD /  
linux的网站备份我建议不要安装额外插件或软件去做,如果你用面板都有自带的定时执行部分,可以定时备份,如果你是自己架的环境,建议自己压缩后ftp下载,然后关闭ftp端口,什么时候要用什么时候开。 8^U+P%  
服务器上装的东西越少,越安全。
级别: 小白
发帖
36
云币
45
只看该作者 13楼 发表于: 2014-03-15
回13楼林林林的帖子
请问有好的定时执行网站备份的代码嘛
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 14楼 发表于: 2014-03-16
回 14楼(灰色状态) 的帖子
装个面板,基本都带计划任务的,而且操作很简单
发表主题 回复主题
« 返回列表
«123»
共3页
上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 54 + 14 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)