云伺服器如何设置能更加安全？

新手站长，购入了阿里云的云伺服器，想知道如何配置才能降低被攻击和黑入的可能性
使用centos7.7，暂时只搭建了个人博客，计划搭载一个小企业官网

对于小企业官网来说，黑客一般不会去主动黑你，但也不乏有些人通过扫描的方式，抓你的伺服器作为肉鸡或者在你的伺服器上植入挖矿程序，导致你CPU跑满，无法正常运行网站，针对这些问你题，该如何做好防护呢？

在阿里云上做好安全防护相对于在自建机房更加便捷，建议遵循以下几点：

1、安全组：采用最小授权原则，例如网站可以考虑只开80、443以及远程连接埠，避免第三方扫描程序通过其他埠入侵伺服器；

2、漏洞修复：这里面包含两块，第一块是操作系统漏洞，这个一般控制台都会有提示，根据提示修复或者自己手动修复即可；第二块是程序漏洞，这块我们在选择程序模板时尽量选择目前有人进行更新维护的模板；不过话说回来，现在市面上的CMS模板漏洞都很多。

3、密码策略：密码尽可能复杂化，并且建议定期修改，避免因密码泄露导致被别人删库；

4、备份：一般的小企业站点，做好快照备份就可以了，阿里云的快照还是很方便的。

至于其他的安全管控，web防护等，对于小企业站点来说，投入太大也没必要，除非该企业的官网需要过等保测评，那就另当别论。

发布于 2020-02-26继续浏览内容

知乎发现更大的世界打开

Chrome继续

高原null

不必要的埠不要打开，SSH服务换个埠，之前用默认的22埠，偶尔会出现登录卡顿的情况，换埠之后再也没出现过。

1 iptables ip6tables可以设置流量规则的，搞个默认黑底，只允许域内已知主机访问特定几个必须埠；

2 关闭伺服器ssh agent转发功能，卸载不必要的服务

3 禁用root账户远程访问的功能

4 限制ftp用户，禁用telnet等不安全连接，ssh要使用v2以上版本，配置上登录密码设置最大尝试次数、口令长度字元构成。ssh登录的加密演算法设置ASE128位，sha256以上的安全加密演算法。

5 禁止icmp重定向，限制su命令用户组。

类似的东西太多了，开源操作系统还是给我们提供很多安全防护手段的，题主可以一点点百度慢慢了解。

以上只是操作系统的安全防护，web安全就是另一套东西了，一定程度上取决于你的app是否足够安全。

1.云伺服器上控制台里设置安全组，仅开放80，443等埠，Windows的远程登录3389修改，Linux系统的21，22埠修改或者策略禁用/规则准入

2.巧用工具，安全检查要勤快。举个例子，Windows上安装安全狗伺服器版，搭配iis安全防护，根据需求开启三层防护。因为是免费版所以不提供自动拉黑IP的功能，所以要勤快，每天日志里面看下哪些IP在扫描目录，攻击某个介面等，及时拉黑。遇到的很经常是云伺服器的IP，百度一下来源，直接网段拉黑。

3.代码层面尽量测试谨慎，不要有明显的漏洞和后门文件。举个例子，像用DedeCms织梦模板旧版本WordPress，网上都不知道经过几手发布，这种十个里面九个有漏洞或者被安了后门。针对具体的网站内容，文件夹许可权分清楚，不要图方便一股脑777。

想到再补充

【阿里腾讯华为云伺服器采购节】云伺服器优惠活动汇总2020

谢邀

老骥作为多年的站长，这里说下自己的一些经验

1.黑客不会去特意针对你的网站去渗透攻击，你的网站被攻击可能也仅仅是你的网站正好凑巧进入到黑客的那一张捕鱼的「网」上去了

2.其他答主也都说了，埠，root密码这两样，我再补充一点：千万不要用所谓的破解程序（包括主题，插件等），一定不要用不知名的网站程序，尽量不要用国人开发的程序。往往很多时候都是程序上的漏洞或者木马导致你的网站撞到了黑客捕鱼的「网」上去。

首先要强化 ssh 的安全配置，比如埠更改，公钥登录等，具体可以参考这里。

另外建站的话要注意网站服务本身的漏洞，比如后端介面的校验、是否使用了 https 协议，到资料库用户的登录方式、操作许可权大小，使用开源框架如 WordPress 的话不要随便安装来历不明的主题和插件、登录方式开启 2FA 的认证方式等。

做好监控和数据备份，这样即使受到攻击也可以及时知晓并挽回损失。

伺服器安全其实来自于很多的方方面面，我简单的说一下我个人认为比较重要的几个方面：

首先是伺服器的用户管理，很多的攻击和破解，首先是针对于系统的远程登录，毕竟拿到登录用户之后就能进入系统进行操作，这个许可权还是很高的。所以对于Linux系统，首先要做的就是禁止root超级用户的远程登录，然后专门创建一个普通用户给予sudo操作许可权进行远程登录使用。
然后再把ssh的默认埠改为其他不常用的埠。你可能不知道我们的伺服器其实每天都在被很多的扫描工具在扫描著，尤其是对于Linux伺服器的ssh默认22埠，扫描工具扫描出22埠之后就可能会尝试破解和登录。把ssh的默认埠修改后可以减少被扫描和暴力登录的概率。此外你还可以使用fail2ban等程序防止ssh被暴力破解，其原理是尝试多少次登录失败之后就把那个IP给禁止登录了。
SSH 改成使用密钥登录，这样子就不必担心暴力破解了，因为对方不可能有你的密钥，比密码登录安全多了。
伺服器安全还跟你伺服器上运行的程序有关，尤其是你运行的网站程序。网上也有很多的爬虫机器人每天在扫描著各式各样的网站，尝试找系统漏洞。即使你前面把伺服器用户许可权管理、登录防护都做得很好了，然而还是有可能在网站程序上被破解入侵，毕竟你的网站程序运行在你的伺服器上，也具有操作伺服器的诸多许可权。所以一定要定期检查和升级你的网站程序以及相关组件，及时修复那些重大的已知漏洞。
另外你说需要在伺服器上运行多个网站系统(博客+企业官网)。我推荐使用docker容器的方式隔离运行环境，将每个程序运行在一个单独的容器里，这样即使伺服器上其中的一个网站程序被破解入侵了，也会被限制在被入侵的容器内，不会影响到其他的容器，也不会影响到系统本身。

这是我的几个观点，希望对你有点用。

个人博客和企业展示性网站，黑客基本都难得去花心思去黑，因为没有任何价值。除非运气不好遇到一些新手，别人练手。一般而言web伺服器，关闭不必要的埠，只开发必要的埠就可以了，然后密码设置的复杂一下，大小写数字元号不要低于12位，再者就是小网站的一些漏洞及时缝补

公网伺服器一定要关22!一定要关22!可以开一台vps试试，打开22埠，五天之后lastb看看

网路安全，不单单是一个系统的问题，还得考虑你的程序问题。阿里云给你的云机，也只是一个系统，这个一般的都是打好了补丁。基本是没什么问题，但是有一个问题，你的埠，或是开放的服务，这个都是你自已来处置的。哪些应当开放，哪些不应当开放，这个是你的技术问题，这个是按你的网站程序要求，安全没有固定的模式。

注意埠和密码复杂度，和网站代码的安全性。

尽可能不开放不需要的埠，资料库埠尽量不对外开放，或者改掉默认埠，伺服器只留80埠。

密码尽量避免弱口令，伺服器每天都会被扫描，黑客会用常用的密码，比如：root，1111这样的简单密码去尝试连接资料库，有可能会被黑客猜出密码，然后删库，支付比特币才能恢复:(

网站资料库可能被SQL注入，不需要密码就能登录之类的，后端要用预编译语句。还有跨站脚本攻击，获取cookie。还有蠕虫病毒之类的。

暂时就学过这么多。

关闭除了80 443 21所有埠，然后登录用密钥，禁用root，不要用不知名的cms，差不多做到这些，就已经很安全了。

埠少开放一些，密码复杂一些，而且如果你是买的伺服器，服务商都会提供付费的企业防护软体，如果要便宜且永久的可以使用像宝塔，云助手这样的运维软体，那里有安全检测等防护手段！