雲伺服器如何設置能更加安全？

新手站長，購入了阿里雲的雲伺服器，想知道如何配置才能降低被攻擊和黑入的可能性
使用centos7.7，暫時只搭建了個人博客，計劃搭載一個小企業官網

對於小企業官網來說，黑客一般不會去主動黑你，但也不乏有些人通過掃描的方式，抓你的伺服器作為肉雞或者在你的伺服器上植入挖礦程序，導致你CPU跑滿，無法正常運行網站，針對這些問你題，該如何做好防護呢？

在阿里雲上做好安全防護相對於在自建機房更加便捷，建議遵循以下幾點：

1、安全組：採用最小授權原則，例如網站可以考慮只開80、443以及遠程連接埠，避免第三方掃描程序通過其他埠入侵伺服器；

2、漏洞修復：這裡麪包含兩塊，第一塊是操作系統漏洞，這個一般控制檯都會有提示，根據提示修復或者自己手動修復即可；第二塊是程序漏洞，這塊我們在選擇程序模板時盡量選擇目前有人進行更新維護的模板；不過話說回來，現在市面上的CMS模板漏洞都很多。

3、密碼策略：密碼儘可能複雜化，並且建議定期修改，避免因密碼泄露導致被別人刪庫；

4、備份：一般的小企業站點，做好快照備份就可以了，阿里雲的快照還是很方便的。

至於其他的安全管控，web防護等，對於小企業站點來說，投入太大也沒必要，除非該企業的官網需要過等保測評，那就另當別論。

發佈於 2020-02-26繼續瀏覽內容

知乎發現更大的世界打開

Chrome繼續

高原null

不必要的埠不要打開，SSH服務換個埠，之前用默認的22埠，偶爾會出現登錄卡頓的情況，換埠之後再也沒出現過。

1 iptables ip6tables可以設置流量規則的，搞個默認黑底，只允許域內已知主機訪問特定幾個必須埠；

2 關閉伺服器ssh agent轉發功能，卸載不必要的服務

3 禁用root賬戶遠程訪問的功能

4 限制ftp用戶，禁用telnet等不安全連接，ssh要使用v2以上版本，配置上登錄密碼設置最大嘗試次數、口令長度字元構成。ssh登錄的加密演算法設置ASE128位，sha256以上的安全加密演算法。

5 禁止icmp重定向，限制su命令用戶組。

類似的東西太多了，開源操作系統還是給我們提供很多安全防護手段的，題主可以一點點百度慢慢了解。

以上只是操作系統的安全防護，web安全就是另一套東西了，一定程度上取決於你的app是否足夠安全。

1.雲伺服器上控制檯裏設置安全組，僅開放80，443等埠，Windows的遠程登錄3389修改，Linux系統的21，22埠修改或者策略禁用/規則准入

2.巧用工具，安全檢查要勤快。舉個例子，Windows上安裝安全狗伺服器版，搭配iis安全防護，根據需求開啟三層防護。因為是免費版所以不提供自動拉黑IP的功能，所以要勤快，每天日誌裡面看下哪些IP在掃描目錄，攻擊某個介面等，及時拉黑。遇到的很經常是雲伺服器的IP，百度一下來源，直接網段拉黑。

3.代碼層面盡量測試謹慎，不要有明顯的漏洞和後門文件。舉個例子，像用DedeCms織夢模板舊版本WordPress，網上都不知道經過幾手發布，這種十個裡面九個有漏洞或者被安了後門。針對具體的網站內容，文件夾許可權分清楚，不要圖方便一股腦777。

想到再補充

【阿里騰訊華為雲伺服器採購節】雲伺服器優惠活動匯總2020

謝邀

老驥作為多年的站長，這裡說下自己的一些經驗

1.黑客不會去特意針對你的網站去滲透攻擊，你的網站被攻擊可能也僅僅是你的網站正好湊巧進入到黑客的那一張捕魚的「網」上去了

2.其他答主也都說了，埠，root密碼這兩樣，我再補充一點：千萬不要用所謂的破解程序（包括主題，插件等），一定不要用不知名的網站程序，盡量不要用國人開發的程序。往往很多時候都是程序上的漏洞或者木馬導致你的網站撞到了黑客捕魚的「網」上去。

首先要強化 ssh 的安全配置，比如埠更改，公鑰登錄等，具體可以參考這裡。

另外建站的話要注意網站服務本身的漏洞，比如後端介面的校驗、是否使用了 https 協議，到資料庫用戶的登錄方式、操作許可權大小，使用開源框架如 WordPress 的話不要隨便安裝來歷不明的主題和插件、登錄方式開啟 2FA 的認證方式等。

做好監控和數據備份，這樣即使受到攻擊也可以及時知曉並挽回損失。

伺服器安全其實來自於很多的方方面面，我簡單的說一下我個人認為比較重要的幾個方面：

首先是伺服器的用戶管理，很多的攻擊和破解，首先是針對於系統的遠程登錄，畢竟拿到登錄用戶之後就能進入系統進行操作，這個許可權還是很高的。所以對於Linux系統，首先要做的就是禁止root超級用戶的遠程登錄，然後專門創建一個普通用戶給予sudo操作許可權進行遠程登錄使用。
然後再把ssh的默認埠改為其他不常用的埠。你可能不知道我們的伺服器其實每天都在被很多的掃描工具在掃描著，尤其是對於Linux伺服器的ssh默認22埠，掃描工具掃描出22埠之後就可能會嘗試破解和登錄。把ssh的默認埠修改後可以減少被掃描和暴力登錄的概率。此外你還可以使用fail2ban等程序防止ssh被暴力破解，其原理是嘗試多少次登錄失敗之後就把那個IP給禁止登錄了。
SSH 改成使用密鑰登錄，這樣子就不必擔心暴力破解了，因為對方不可能有你的密鑰，比密碼登錄安全多了。
伺服器安全還跟你伺服器上運行的程序有關，尤其是你運行的網站程序。網上也有很多的爬蟲機器人每天在掃描著各式各樣的網站，嘗試找系統漏洞。即使你前面把伺服器用戶許可權管理、登錄防護都做得很好了，然而還是有可能在網站程序上被破解入侵，畢竟你的網站程序運行在你的伺服器上，也具有操作伺服器的諸多許可權。所以一定要定期檢查和升級你的網站程序以及相關組件，及時修復那些重大的已知漏洞。
另外你說需要在伺服器上運行多個網站系統(博客+企業官網)。我推薦使用docker容器的方式隔離運行環境，將每個程序運行在一個單獨的容器裏，這樣即使伺服器上其中的一個網站程序被破解入侵了，也會被限制在被入侵的容器內，不會影響到其他的容器，也不會影響到系統本身。

這是我的幾個觀點，希望對你有點用。

個人博客和企業展示性網站，黑客基本都難得去花心思去黑，因為沒有任何價值。除非運氣不好遇到一些新手，別人練手。一般而言web伺服器，關閉不必要的埠，只開發必要的埠就可以了，然後密碼設置的複雜一下，大小寫數字元號不要低於12位，再者就是小網站的一些漏洞及時縫補

公網伺服器一定要關22!一定要關22!可以開一臺vps試試，打開22埠，五天之後lastb看看

網路安全，不單單是一個系統的問題，還得考慮你的程序問題。阿里雲給你的雲機，也只是一個系統，這個一般的都是打好了補丁。基本是沒什麼問題，但是有一個問題，你的埠，或是開放的服務，這個都是你自已來處置的。哪些應當開放，哪些不應當開放，這個是你的技術問題，這個是按你的網站程序要求，安全沒有固定的模式。

注意埠和密碼複雜度，和網站代碼的安全性。

儘可能不開放不需要的埠，資料庫埠盡量不對外開放，或者改掉默認埠，伺服器只留80埠。

密碼盡量避免弱口令，伺服器每天都會被掃描，黑客會用常用的密碼，比如：root，1111這樣的簡單密碼去嘗試連接資料庫，有可能會被黑客猜出密碼，然後刪庫，支付比特幣才能恢復:(

網站資料庫可能被SQL注入，不需要密碼就能登錄之類的，後端要用預編譯語句。還有跨站腳本攻擊，獲取cookie。還有蠕蟲病毒之類的。

暫時就學過這麼多。

關閉除了80 443 21所有埠，然後登錄用密鑰，禁用root，不要用不知名的cms，差不多做到這些，就已經很安全了。

埠少開放一些，密碼複雜一些，而且如果你是買的伺服器，服務商都會提供付費的企業防護軟體，如果要便宜且永久的可以使用像寶塔，雲助手這樣的運維軟體，那裡有安全檢測等防護手段！