十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
关闭ping扫描,虽然没什么卵用
公司主营业务:成都网站设计、成都做网站、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联推出嫩江免费做网站回馈大家。
先切换到root
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭
0代表开启
用iptables
iptables -I INPUT -p icmp -j DROP
简单介绍下基本的 dedecms _aq/' target='_blank'安全设置
一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root
这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限
以下是具体做法(需要在root下)
添加普通用户
useradd xxx
设置密码
passwd xxx
这样就创建好了一个普通用户
禁止root登录
vi /etc/ssh/sshd_config
PermitRootLogin no
Systemctl restart sshd
这样就完成了第一步,之后root就无法登录服务器只能通过普通用户su切换
二、修改ssh的默认端口22,因为ssh的端口是22,我们如果修改了该端口,他们就需要花费一点时间来扫描,稍微增加了点难度
以下将端口改为51866可以根据需要自己更改,最好选择10000-65535内的端口
step1 修改/etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#Port 22 //这行去掉#号
Port 51866 //下面添加这一行
为什么不先删除22,以防其他端口没配置成功,而又把22的删除了,无法再次进入服务器
step2 修改SELinux
安装semanage
$ yum provides semanage
$ yum -y install policycoreutils-python
使用以下命令查看当前SElinux 允许的ssh端口:
semanage port -l | grep ssh
添加51866端口到 SELinux
semanage port -a -t ssh_port_t -p tcp 51866
注:操作不成功,可以参考:
失败了话应该是selinux没有打开
然后确认一下是否添加进去
semanage port -l | grep ssh
如果成功会输出
ssh_port_t tcp 51866, 22
step3 重启ssh
systemctl restart sshd.service
查看下ssh是否监听51866端口
netstat -tuln
Step4 防火墙开放51866端口
firewall-cmd --permanent --zone=public --add-port=51866/tcp
firewall-cmd --reload
然后测试试试,能不能通过51866登录,若能登录进来,说明成功,接着删除22端口
vi /etc/ssh/sshd_config
删除22端口 wq
systemctl restart sshd.service
同时防火墙也关闭22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp
注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网,需要做端口映射)
三、使用一些类似DenyHosts预防SSH暴力破解的软件(不详细介绍)
其实就是一个python脚本,查看非法的登录,次数超过设置的次数自动将ip加入黑名单。
四、使用云锁(不详细介绍)
参考自
总的来说做好了前两步能够减少至少百分之五十的入侵,在做好第三步之后,基本可以杜绝百分之八十以上的入侵。当然最重要的还是自己要有安全意识,要多学习一些安全知识和linux的知识。
第三第四其中都有稍微提到一点,感兴趣可以看看
安全组 是一个ECS的重要安全设置,但对小白用户来说却很难理解其中晦涩难懂的专业术语。websoft9在此介绍个人的理解:
阿里云官方解释 :安全组是一种虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。每个实例至少属于一个安全组,在创建的时候就需要指定。
注解:简单理解:服务器什么端口(服务)可以被访问,什么端口可以被封锁
例子:服务器80端口是用来提供http服务,如果服务器部署了网站,而没有开放80端口,这个网站肯定访问不了,http: //ip 是打不开的。
这是很常见的问题,用户第一感觉就是购买的服务器有问题或购买的镜像用不了。
远程连接(SSH)Linux 实例和远程桌面连接 Windows 实例可能会失败。
远程 ping 该安全组下的 ECS 实例的公网 IP 和内网 IP 可能会失败。
HTTP 访问该安全组下的 ECS 实例暴漏的 Web 服务可能会失败。
该安全组下 ECS 实例可能无法通过内网访问同地域(或者同 VPC)下的其他安全组下的 ECS 实例。
该安全组下 ECS 实例可能无法通过内网访问同地域下(或者同 VPC)的其他云服务。
该安全组下 ECS 实例可能无法访问 Internet 服务。
当用户购买一个新的服务器的时候,阿里云会提醒选择安全组,对于一部分入门用户来说,第一感觉就是选择一个等级比较高的安全组,这样更为保险。实际上,等级越高,开放的端口越少。甚至连80端口、21端口都被封锁了,导致服务器ping不通、http打不开。这样最常见的访问都无法进行,用户第一感觉就是购买的服务器有问题或购买的镜像用不了。
在Websoft9客服工作中统计发现,96%的用户浏览器http://公网IP 打不开首页,都是因为安全组的设置关闭了80端口所导致。
第一,找到对应的实例,通过安全组配置选项进入设置。
第二,点击“配置规则”,进入安全组规则设置。
服务器默认打开了防火墙,关闭了所有端口的访问,通过设置出入站规则可以打开相应的端口的访问
1 打开服务器管理器(快捷栏,或者计算机右键→管理)
2 打开防火墙
3 根据需要新建出入站规则
简单地说出站就是你访问外网入站就是外网访问你,用户可以创建入站和出站规则,从而阻挡或者允许特定程序或者端口进行连接。
一、可以使用预先设置的规则,也可以创建自定义规则,“新建规则向导”可以帮用户逐步完成创建规则的步骤;用户可以将规则应用于一组程序、端口或者服务,也可以将规则应用于所有程序或者某个特定程序;
二、可以阻挡某个软件进行所有连接、允许所有连接,或者只允许安全连接,并要求使用加密来保护通过该连接发送的数据的安全性;
可以为入站和出站流量配置源IP地址及目的地IP地址,同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规。
步骤如下:
1.新建入站规则
在“管理工具”中打开“服务器管理器”。展开“配置”——“高级安全windows防火墙”,右击“入站规则”,选择“新规则”;
2.选择防火墙规则类型
在规则类型页面中选择“端口”,单击“下一步”;
3.选择协议和端口
在协议和端口页面中选择“TCP”和“特定本地端口”,并输入“21”,单击“下一步”;
4.指定要执行的操作
在操作页面中选择“阻止连接”,单击“下一步”;
5.选择配置文件
在配置文件页面中选择“域”、“专用”、“公用”,单击“下一步”;
6.指定入站规则名称
在名称页面中输入名称和描述,然后单击“完成按钮”;
7.配置入站规则属性
在入站规则中右击“FTP入站”规则,选择“属性”,在“作用域”选项卡中添加本地IP地址和要阻止的远程IP地址。