有過雲伺服器被入侵用來挖礦的經驗,所以如何做好安全工作來保證伺服器不被入侵?


關閉不用的敏感埠,高強度密碼防止爆破。

有web就做好許可權控制,這樣被拿了shell他也提權不了。

安裝防護軟體,安全狗,360等,

足夠的防護意識

只要你的密碼夠強,網站沒漏洞基本不會被搞。

當然不排除系統0day 例如永恆之藍


小鳥雲 - 企業級雲伺服器、虛擬主機、伺服器租用託管服務提供商

在雲計算行業中上,企業的DDoS防護工作往往更多是以來雲提供商提供的一些列防護方案來完成,雖然如此,這也並沒有什麼可擔心的,大多數雲提供商所提供的雲端防護工作仍然是可靠而值得信賴的。同時,國內雲提供商在經過完善的市場調研以及技術的不斷完善開發後,其所提供的雲端安全防護保障手段十分出色。小鳥雲在完善自身產品的基礎上制定了更加細化和專業的雲端安全防護措施,為用戶的雲端安全提供更加貼心的保障。

小鳥雲提供5G-20G免費的DDoS攻擊流量清洗,通過專業的DDoS防護設備來為用戶互聯網應用提供精細化的抵禦DDOS攻擊能力,如UDP Flood攻擊、SYN Flood攻擊和CC攻擊等。用戶可根據業務模型在用戶中心配置流量參數閾值,可監控攻防狀態,全方位地保障雲伺服器安全。

同時,小鳥雲還設立了全面監控及告警機制,面向小鳥雲全線產品提供監控服務,實現性能指標監控、自動告警、歷史信息查詢等功能。藉助雲監控服務,用戶可以更詳細的了解雲資源使用情況,方便用戶及時調整,保障雲伺服器正常運行。


首先我會把你的「雲伺服器」的定義為就是雲上的 computing resource。

因為不同的雲,雲伺服器有很多種。

那麼我就舉個栗子 ,站在 AWS 的角度來互相學習一下這個問題。

第一,了解你的雲架構

首先我們需要知道在你所用的雲伺服器中的 share responsibility model。

就是對於你的雲伺服器來說,哪一些內容是歸你來管理的,哪一寫內容是雲服務商來管理的。

基礎設施服務的共享責任模型,比如Amazon Elastic Compute Cloud (Amazon EC2),

指定AWS管理以下資產的安全性:

  • 設施
  • 硬體的物理安全
  • 網路基礎設施
  • 虛擬化基礎設施

在這個Amazon EC2示例中,您作為用戶,你應該負責的內容如下:

  • Amazon Machine Images (AMIs)
  • 操作系統

但是如果你使用的是 Container, fargate,RDS 等等,你的共享責任模型將不同。

第二,定義這個雲結構和服務

首先你需要把這個 雲中的 asset 定義和歸類

定義:

這個 asset 的名字是什麼?

這個asset 的 owner 是誰?

這個asset 的 category 是什麼?

這個 asset 的 dependencies 是什麼?

第三, 設計雲架構的 ISMS(information security management system)

在定義了雲中的 asset 和歸類之後,我們需要建立一個標準來執行,操作,監控,回顧,維護和改進你基於AWS的信息安全管理系統(ISMS)。

安全需求不同,每一個公司的雲架構安全設計也不同。

設計雲安全架構取決於以下因素:

  • 你的業務需求和目標
  • 你是如何使用這些業務,也就是業務的運行方式
  • 你的雲架構的規模和結構

具體就是如何定義 risk,然後創建了一個規則來避免這些risk

第四, 保護你的雲賬戶用戶,用戶組

定義如何訪問用戶

定義不同的用戶組可以訪問那一些雲服務

定義雲服務可以訪問哪一些雲服務

第五, 控制對雲伺服器的 OS 級訪問

得知你的雲伺服器被入侵用來挖礦,可以想像屏幕背後的鬱悶。

對於每一種雲來說,都會提供了一套實用的工具來管理 雲伺服器的密鑰,為新啟動的雲實例提供行業標準的身份驗證。

如果您有更高的安全性要求,則使用更安全的整合驗證機制,包括LDAP或Active Directory身份驗證,以及禁用雲密鑰對認證。

第六, 保護你的雲伺服器的數據

你需要使用訪問策略嚴格的控制雲伺服器數據存儲的訪問

還有就是保存好你的數據 encryption key

還有就是需要保護好你的 data at rest

第七, 保護您的操作系統和應用程序

使用AWS共享職責模型,您可以管理操作系統和應用程序的安全。

對於操作系統,一定要選擇官方的。

因為很多第三方自定義操作系統可能都已經預安裝了挖礦程序,在你連接互聯網時,就在後台隱藏消耗著你的計算資源。

這裡我有一些建議來幫助你:

  • 禁用 root api access key 和 secret key
  • 在 security group 中限制 IP 的訪問
  • 使用密碼保護用戶機器上的.pem文件
  • 如果你刪除你機器上的用戶訪問許可權時,請把他的 key 在authorizedkeys文件中刪除
  • 時常更換憑證(DB,訪問密鑰)
  • 定期運行最少許可權檢查用戶最後使用的訪問密鑰
  • 使用 bastion hosts來加強控制和可見性
  • 使用 access-control list 來增強保護

第八, 使用雲架構中的 monitoring systerm

你可以使用 雲上面的 monitoring system 來監控和制定一些規則來控制訪問。

當監測到異常的訪問行為時,將自動終止或是通過簡訊,郵件和推送發送 alert。


大家都說雲是很危險的,因為如果對於你使用的雲設施和架構不了解,就無法充分的利用相對應的服務和功能來保護你的雲伺服器。

無論你是個人用戶還是企業,保護雲中的數據的機密性、完整性和可用性是非常必要的,傳統的安全和遵從性概念仍然適用於雲。

歡迎關注,讓我們共同學習。


對於企業來說,數據的安全關係到整個企業的發展,只有放在看的見的地方,才覺得能夠確保它的安全。所以對應將數據放在共有雲、雲伺服器這種看不見的地方,就會時刻擔心數據會被泄露或是篡改。其實不然,因為雲伺服器所搭載的雲平台已經是具備強大安全實力和完善的保護措施的,只要企業採取了正確的預防措施,雲伺服器相對傳統的伺服器要來的更加安全。

1.不要忘記基礎保護,請您使用防火牆;

2.監控您的網路;

3.時刻記住數據備份;

4.加密儲存和傳輸數據

2019開年鉅惠 - 藍隊雲


想讓伺服器不被入侵就要做好防護工作,最基本的像開啟ip禁止PING功能,防止被掃描,然後過濾不必要的服務和埠,還有打開防火牆,降低被入侵的風險;還有要保證伺服器沒有漏洞,及時更新伺服器系統,該打的安全補丁都要做好,對應的網站也要定期檢查,做好漏洞修補工作;也可以考慮使用免費的CDN做中轉,把真實的ip地址隱藏;或者使用安全軟體等,很多方法都可以。


serverless,把安全問題丟給雲供應商


負責基礎架構的來答一下,雲服務必須從伺服器層面和網路層面都進行加強才有效果。


我之前的伺服器也是經常受到網路攻擊,為了保證伺服器不受入侵,找了一大圈伺服器安全軟體,目前市面上做伺服器安全軟體還是蠻多的吧,大部分收費很貴用不起,後面找到了免費的雲幫手,安全防護主要以下幾個方面:

1、安全巡檢 一鍵修復

24小時不間斷系統全面體檢、系統漏洞掃描、系統一鍵加固

2、系統安全防護

通過自動開啟系統防火牆、伺服器禁PING、修改RDP默認埠等全方位提升伺服器安全係數

管理系統監聽埠,手動選擇信任埠,避免系統被肉雞

管控出站入站IP,輕鬆應對各類基於IP的攻擊

3、網路安全防護

通過網路連接管控可查看到協議類型、本地地址、佔用進程等,並可添加至埠白名單和IP黑白名單,提高網路安全防護性。

4、安全日誌審計

使用大數據技術儲存主機和Web事件日誌,從安全形度引導客戶對日誌進行查詢與分析,發現黑客入侵的蛛絲馬跡,還原攻擊現場。


請個網管,買個安全狗 ,或是阿里雲的雲安全中心企業版的。基本無敵了


推薦閱讀:
相关文章