云服务器安全使用原则

云服务器安全使用原则

在工作中, 有时会接触到对生产和开发环境的搭建, 如何安全的使用这些服务器, 以免受到黑客的攻击导致数据丢失, 是我们应当极力避免的事情. 下面总结了个人的一些使用原则(心得), 现在分享下. 以腾讯云服务器为例

一. 使用ssh秘钥登录

当我们开启秘钥登录后, 将秘钥证书作为了登录凭证, 可以让我们通过证书来进行服务器登录.

1. 在服务器实例中->更多->加载秘钥, 然后创建秘钥 或者是点击左侧导航栏 SSL秘钥 , 去创建秘钥, 并未秘钥命名(字母数字下划线)

1. 绑定实例 (即: 将自己的服务器与该密钥进行绑定, 使之可以通过该秘钥登录. ) 需要注意的是需要自己的服务器在关机状态才能进行绑定实例操作

1. 秘钥登录, 以xshell为例 新建会话, 在连接中添加服务器ip, 在 用户身份认证 一栏选择登录方法为 public key, 输入用户名, 导入秘钥, 无需输入密码直接连接即可

1. 可以看到登录成功

二. 禁止root 用户ssh 密码登录

这个和第一步一般是一起设置的, 作用是防止别人通过密码来登录, 只能使用秘钥进行登录

三. 配置安全组

通过配置安全组, 来对服务器上面的端口进行管理. 防止服务器变矿机 or 肉机

四. 修改软件常用端口

我们都知道, 互联网上几乎任意一个服务都能通过 服务器ip+端口进行访问. 而一些常用软件的端口号不仅我们熟记于心, 黑客也熟记于心, 他们会通过扫描这些常用端口的漏洞来获取我们服务器的root信息, 进而控制我们的电脑或者删除我们的重要数据

这里尤其要点名 mysql !

1. 常用端口3306, 极易被扫描到. 因此我们需要将数据库的端口修改一下. eg: 3306 - 3307我记得之前有个大佬曾给我讲过. mysql 改一下端口号能避免90%的安全问题, 这恰恰说明了我们有多不重视这些端口号
2. 千万不要使用弱密码! eg: root/root1234/123456 -> 数字+字符+字母大小写组合，虽然你写的时候比较麻烦, 但是只有你服务器被黑之后才能够体会到为什么要这样做的原因
3. 禁止非指定的主机禁止访问root 用户

--修改mysql库的user表，将host项，从localhost改为%。%这里表示的是允许任意host访问，
--如果只允许某一个ip访问，则可改为相应的ip，比如可以将localhost改为192.168.1.1，这表示只允许局域网的192.168.1.1这个ip远程访问mysql。
mysql> use mysql;
mysql> update user set host = ‘%‘ where user = ‘root‘;
mysql> select host, user from user;
mysql> flush privileges;

ps: 另外: redis(6379), tomcat(8080), rabbitMq(5672) 等也是重灾区, 请及时进行更改哦~

持续更新中…