十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
安全组 是一个ECS的重要安全设置,但对小白用户来说却很难理解其中晦涩难懂的专业术语。websoft9在此介绍个人的理解:
让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:国际域名空间、网络空间、营销软件、网站建设、新区网站维护、网站推广。
阿里云官方解释 :安全组是一种虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。每个实例至少属于一个安全组,在创建的时候就需要指定。
注解:简单理解:服务器什么端口(服务)可以被访问,什么端口可以被封锁
例子:服务器80端口是用来提供http服务,如果服务器部署了网站,而没有开放80端口,这个网站肯定访问不了,http: //ip 是打不开的。
这是很常见的问题,用户第一感觉就是购买的服务器有问题或购买的镜像用不了。
远程连接(SSH)Linux 实例和远程桌面连接 Windows 实例可能会失败。
远程 ping 该安全组下的 ECS 实例的公网 IP 和内网 IP 可能会失败。
HTTP 访问该安全组下的 ECS 实例暴漏的 Web 服务可能会失败。
该安全组下 ECS 实例可能无法通过内网访问同地域(或者同 VPC)下的其他安全组下的 ECS 实例。
该安全组下 ECS 实例可能无法通过内网访问同地域下(或者同 VPC)的其他云服务。
该安全组下 ECS 实例可能无法访问 Internet 服务。
当用户购买一个新的服务器的时候,阿里云会提醒选择安全组,对于一部分入门用户来说,第一感觉就是选择一个等级比较高的安全组,这样更为保险。实际上,等级越高,开放的端口越少。甚至连80端口、21端口都被封锁了,导致服务器ping不通、http打不开。这样最常见的访问都无法进行,用户第一感觉就是购买的服务器有问题或购买的镜像用不了。
在Websoft9客服工作中统计发现,96%的用户浏览器http://公网IP 打不开首页,都是因为安全组的设置关闭了80端口所导致。
第一,找到对应的实例,通过安全组配置选项进入设置。
第二,点击“配置规则”,进入安全组规则设置。
一、迅睿CMS安全性
1、系统后台安全设置
开启https、开启跨站验证、登录失败次数设置
定期修改密钥,该密钥用于Cookie数据加密,为了保证用户数据安全
2、目录权限(非常重要)
目录权限的配置非常重要,80%的网站系统入侵后成功挂马,基本上是权限设置不正确引起的。
迅睿CMS系统目录权限配置的原则为:
这样即使黑客侵入了网站目录,也不能轻易让木马在可执行PHP脚本的目录下运行,相当于把木马文件隔离起来了。
3、分离后台程序,个性化后台域名
不要把后台放在前端目录中,防止被猜疑利用。
我们强烈建议后台域名不要通过公网DNS解析,最好手动绑hosts文件访问。
如果有条件的话,后台更应该放置在VPN以及内网下访问。
4、禁止模版目录在线修改
迅睿CMS后台提供了在线修改模版的功能,提供了一定的方便,但是一旦黑客通过其他途径拿到了后台帐号密码,并进入了后台,就可以在线修改模版并植入木马程序。
为了安全起见,我们强烈的建议用户不允许在线修改模版,因为你方便,黑客们也喜欢。
通过FTP或SFTP软件来进行模版修改,同时开启FTP与SFTP的操作日志。
5、开启后台操作日志
作为网站管理员,养成定时查看日志的习惯才是好同志。
通过开启迅睿CMS后台的操作日志,并定时查看是否有非法登入后台的管理员账户,是否有非法访问后台地址的行为。
6、开启访客日志记录
实时查看网站访问数据和POST提交数据,统计用户的操作行为日志,记录源端口号、IP、设备信息。
7、补丁更新及安全检查
迅睿CMS使用过程中,如发现已知的安全漏洞,官方会在第一时间修复漏洞并提供补丁包,并通知我们的客户及时打上补丁,避免再次入侵,造成更大损失。
如果您在使用过程中发现有入侵现象,请及时与我们联系,我们会安排工程师进行网站扫描与清理工作。
8、数据库与网站备份
建议每天对网站程序和模版以及数据库进行备份,阿里云服务器可以用设置定时快照备份,大部分虚拟主机也有自动定时备份功能,以防出现故障后无法恢复 历史 文件。
二、服务器安全配置
虚拟主机安全性都是由服务商来设定;
云服务器建议安装BT面板的防火墙插件
三、其他开源程序的安全配置
如果您的服务器运行了不止迅睿CMS一个产品,还有如Discuz、DedeCMS、帝国CMS等开源产品,请及时关注这些产品的安全信息,并做好补丁工作。
Ecs服务器设置
云服务器的安全安全设置主要有以下几个比较重要的几个方面:
1、首先是服务器的用户管理,很多的攻击和破解,首先是针对于系统的远程登录,毕竟拿到登录用户之后就能进入系统进行操作,所以首先要做的就是禁止root超级用户的远程登录。
2、把ssh的默认端口改为其他不常用的端口。你可能不知道我们的服务器其实每天都在被很多的扫描工具在扫描着,尤其是对于Linux服务器的ssh默认22端口,扫描工具扫描出22端口之后就可能会尝试破解和登录。把ssh的默认端口修改后可以减少被扫描和暴力登录的概率。此外你还可以使用fail2ban等程序防止ssh被暴力破解,其原理是尝试多少次登录失败之后就把那个IP给禁止登录了。
3、SSH 改成使用密钥登录,这样子就不必担心暴力破解了,因为对方不可能有你的密钥,比密码登录安全多了。
4、一定要定期检查和升级你的网站程序以及相关组件,及时修复那些重大的已知漏洞。网上也有很多的爬虫机器人每天在扫描着各式各样的网站,尝试找系统漏洞。即使你前面把服务器用户权限管理、登录防护都做得很好了,然而还是有可能在网站程序上被破解入侵。
5、另外如果云服务器上运行多个网站系统(博客+企业官网)。我推荐使用docker容器的方式隔离运行环境,将每个程序运行在一个单独的容器里,这样即使服务器上其中的一个网站程序被破解入侵了,也会被限制在被入侵的容器内,不会影响到其他的容器,也不会影响到系统本身。