阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 19409阅读
  • 19回复

[干货分享]ECS安全优化之路Linux

级别: 小白
发帖
47
云币
91
— 本帖被 行~人 从 开发者交流 移动到本区(2015-07-24) —
}iXDa?6%  
        从Windows到Linux的转变起初我有点怕,这对我来说是个挑战。保守的我一直没有去尝试。直到一天晚上,我把现有ECS做了一个快照备份,想换上windows2008,但我忽视了阿里给我的警告,我压根没去看那个警告,警告是告诉我更换系统的时候会删除现有操作系统的所有快照......所以我悲剧了。windows 2008无法满足我的需求的时候,我跑的是apache+php,只有在Linux下性能才能发挥出来。所以我选择了centos,现在看来我的选择是正确的。 B6u/mo<  
1->dMm}G[  
g`{;(/M+  
!O+) sbd<  
       这里我分享一下我在centos下的安全优化经验,是我参照在windows下的思路进行配置的,我追求性能和安全。 q M fT>rH  
1.关闭无用的开机服务(chkconfig),我只保留messagebus,  network, rsyslog,udev-post,sshd,iptables服务,其他全部关闭。 %+ @O#P  
2.修改开机会执行的/etc/rc.d/rc.local文件(我看做是windows的开始》所有程序》启动),把里面所有的内容全部用#注释掉,这样即使包括阿里云监控程序在内也不会启动了。我追求性能,监控只会服务器带来负担。 R0P iv:  
完成上面两个步骤重启开机系统centos6.5只占用70MB左右内存。 O,+1<.;+  
K SbKEA  
0t^M3+nc  
3.修改root密码passwd .f*4T4eR-  
4.创建一个普通用户(useradd),设置密码 aGrIQq/k)%  
5.修改ssh的端口,禁止root用户登录ssh,(没重启服务没断开不会影响这次连接) j@W.&- _  
6.安装vsftpd,修改vsftpd端口,vsftpd配置允许本地用户登录(不包括root,简单为上),开启pasv模式,设置pasv端口。 (7mAt3n k  
7.配置iptables防火墙,默认禁止所有INPUT,FORWARD端口,允许INPUT的80端口,vftp端口,ssh端口访问。 !*s?B L  
8.如果你有安装apache,将apache默认端口修改成非80端口,例如17189端口,然后在iptables配置里将17189端口转发到80端口上。(因为非root用户是没有权限开启80端口的,这样能解决这个问题)  ,V,`Jf  
9.设置swap,大小是物理内存*1.5的原则,swap一般都是使用空间都是0基本用不到,但是要留在防止内存不够用服务器会挂了。 F f$L|  
s [M?as  
上面操作后,重启系统。用ssh登录,这时已经无法用root用户登录了,只能先用普通用户登录ssh后,再用su root,换成root登录。这样是不是安全级别又上了一级? 3B1XZm  
oiF}?:7Q7  
R?GDJ3  
但是还需要检查以下几个问题,ecs是否还能对外ping?是否还能访问RDS数据库?如果不行就要修改iptables了。 )#BMTKA^  
t9,\Hdo  
j>*R]mr6  
用ftp工具登录vsftp(这里只能用普通用户登录ftp了),上传你需要安装程序所需文件,先用root解压安装,然后设置权限。 $Z!`Hb  
3)F |*F3R  
以下是我在centos系统的使用程序的安全经验,这里举个例子,环境是apache+php: WzPTFw[  
1.将apache+php文件夹设置成只读只执行,也是5。命令是chmod -R 500 apache。要设置里面所有的哦~ sNj)ZWgd>  
2.将apache中日志文件夹和临时文件夹设置为读写的权限。如果你网站上有上传文件夹,也要将上传文件夹设置为可读写,其他文件夹只能读取和执行(浏览目录)。 T_i:}ul  
3.网站的文件夹中可读写的文件夹要在apache中单独做禁止php代码执行的配置(即使网站已经限制了上传php文件,但再加一层锁也无妨)。 VvvRRP^q  
4.然后将文件夹所有者修改成普通用户(chown)。 x*![fK  
5.su到普通用户,用普通用户来启动apache。 FK:;e lZ  
-l`f)0{  
上面步骤操作操作后,网站就安全了很多,黑客再神也无法修改你的网站,只要你没有把root密码设置得太简单。即使他能通过你网站的网站缺陷搞注入,有云盾和RDS在后面帮你撑腰你还害怕什么。就像云盾说的,黑客神马都是浮云。 H2&@shOOQJ  
n)L*  
本帖最近评分记录: 8 条评分 云币 +20
空白留给我 云币 +1 信章鱼 猛加分 2015-05-18
林林林林 云币 +1 不顶不舒服斯基 2014-08-06
asky8 云币 +1 赞一个 2014-07-24
元芳 云币 +1 您的帖子很精彩!希望很快能再分享您的下一帖! 2014-07-14
kideny 云币 +3 楼主辛苦了! 2014-07-11
habahama 云币 +10 安全是第一位的!感谢分享! 2014-07-11
林林林林 云币 +1 您的帖子很精彩!希望很快能再分享您的下一帖! 2014-07-10
小猪猪 云币 +2 不顶不舒服斯基 2014-07-10
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 沙发  发表于: 2014-07-10
您的帖子很精彩!希望很快能再分享您的下一帖!
级别: 程序猿
发帖
209
云币
209
只看该作者 板凳  发表于: 2014-07-11
安全是第一位的!感谢分享!
级别: 小白
发帖
4
云币
4
只看该作者 地板  发表于: 2014-07-11
ReECS安全优化之路Linux
123123 jH19k}D  
赞一个 QN@CPuy  
[ 此帖被testa在2014-07-11 15:40重新编辑 ]
级别: 小白
发帖
4
云币
4
只看该作者 4楼 发表于: 2014-07-11
ReECS安全优化之路Linux
又看了一次 非常的赞
级别: 科学怪人
发帖
9985
云币
21878

只看该作者 5楼 发表于: 2014-07-11
楼主辛苦了!
级别: 程序猿
发帖
264
云币
332
只看该作者 6楼 发表于: 2014-07-14
ReECS安全优化之路Linux
级别: 总版主
发帖
3267
云币
12044

只看该作者 7楼 发表于: 2014-07-14
希望能够更加详细的说明如何更改 t ^[8RhD  
如何优化 h.!}3\Y  
以帮助更多的新人~
总版主元芳,社区论坛专家,以帮助和服务站长朋友为宗旨!
级别: 小白
发帖
4
云币
4
只看该作者 8楼 发表于: 2014-07-22
ReECS安全优化之路Linux
这个很有用
级别: 布道狮
发帖
2015
云币
9452
只看该作者 9楼 发表于: 2014-07-24
赞一个
级别: 程序猿
发帖
303
云币
-2
只看该作者 10楼 发表于: 2014-07-24
占楼了
级别: 小白
发帖
8
云币
12
只看该作者 11楼 发表于: 2014-08-06
ReECS安全优化之路Linux
牛逼!!!!
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 12楼 发表于: 2014-08-06
不顶不舒服斯基
级别: 新人
发帖
4
云币
5
只看该作者 13楼 发表于: 2014-09-03
ReECS安全优化之路Linux
顶个,楼主技术牛。。
级别: 小白
发帖
1
云币
1
只看该作者 14楼 发表于: 2014-09-03
ReECS安全优化之路Linux
有ssh没必要再配置vsftp,直接用sftp传文件就好了。
发表主题 回复主题
« 返回列表
«12»
共2页
上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 80 - 52 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)