azuginnen
V2EX  ›  问与答

拿到新的 digital ocean 的一台 vps 需要做哪些事情

  •  
  •   azuginnen · Jan 7, 2015 · 8225 views
    This topic created in 4198 days ago, the information mentioned may be changed or developed.
    之前没有用过vps, 不知道一些最佳实践是啥。

    一开始root 设置了一个弱密码,果断被人黑了,vps变成了一个ddos 肉鸡。
    被do封锁了,后来交涉了一下才重装了系统。

    搜索了一下,解决类似问题的全是中文blog。

    后来搜索这个社区的帖子,主要有

    1. 装上fail2ban
    2. 设置iptable
    3. 不要用弱密码,要用ssh
    4. 关于端口,只放行有限端口,ssh端口改掉
    5. 不要用root

    其他呢?

    还有 http://v2ex.com/t/160041#reply11 这个帖子,被攻击怎么办呢。被 ddos 也算我的流量 啊。

    感谢!
    11 replies    2015-01-09 04:29:30 +08:00
    czheo
        1
    czheo  
       Jan 7, 2015 via iPhone
    差不多够了
    mcone
        2
    mcone  
       Jan 7, 2015
    把密码登陆禁掉,换私钥登陆

    其实你把你前面说的都做了,就基本差不多了,最可怕的就是光看/说不做
    TrustyWolf
        3
    TrustyWolf  
       Jan 7, 2015   ❤️ 1
    改SSH端口禁用root登陆就行了
    CentOS 7的初始化设置可以参考我的博客:
    https://blog.trusty.wolf.moe/
    博客的美国节点就是使用了Digital Ocean的纽约机房的VPS ^_^
    azuginnen
        5
    azuginnen  
    OP
       Jan 7, 2015   ❤️ 1
    好吧。这是我从v站搜索到的

    分享给有需要的人

    ===

    1、修改iptable只开放80端口(或需要使用的其他端口)
    2、新建一个用户(eg:tweb),分配某块区间(eg:/usr/www/myweb)的读写权限,并禁止其登陆。tomcat就交给这个用户管理。这样,及时网站被破解了拿到了用户密码,也只能操作这个区间内的东西,不会影响你其他的分区和资源。
    3、不要拿tomcat做http服务器,装nginx或apache做这个事情。把图片、css、js等静态资源交给nginx处理,动态请求交给tomcat处理。
    4、用类似Fail2Ban这样的东西限制登录次数,保证不被穷举破解。
    5、其实,Linux的安全核心应该是:用户+iptable。二者配合,足够啦。

    ===

    另一条

    做物理隔离最简单,VPN次之,上公网后安全没有一劳永逸,有的搞。
    以linux中debian/ubuntu为例,最基础的:

    1. 系统内核参数,改/etc/sysctl.conf 跳转参数。
    2. 端口只开放 ssh/http/https, 改ssh 端口到其它数字,并fail2ban,
    条件许可时ssh用ip白名单、纯证书访问。
    3. 服务器内各进程权限独立,特别是私有程序编译时,除了守护进程用root,其它全部降权。
    4. 用户权限与文件夹权限:关闭root登陆,管理员另起sudo用户名,web文件夹755 文件644
    各种配置文件640加服务器Deny Access Protection,多用户隔离。
    5. 如果允许用户上传文件,取消一切执行权限,最好放在另一台media服务器。
    6. Hot Links/Reverse Proxy偷流量好防,DDOS被盯上就要出血,穷人解法用varnish/load balancer稍微挡一下,总之得烧钱。

    网站程序自身还要具备各种Validation, SSL加密敏感交互,特殊字符escape,防SQL注入和XSS机制。
    Tomcat 和 Oracle具体防护又是另外话题了,感觉运维里面很大一部分成本被安全占了。


    ===


    对于确保linux系统安全的,不知道大家还有没有心得。
    20140930
        6
    20140930  
       Jan 7, 2015
    我就把密码改成一个50位以上随机生成的密码,装个ss,其他的什么都不改也没见被人黑了
    Draplater
        7
    Draplater  
       Jan 7, 2015 via Android
    使用公钥登录就不担心弱口令问题了
    typcn
        8
    typcn  
       Jan 7, 2015
    DisactiveOcean
    DontOrder
    typcn
        9
    typcn  
       Jan 7, 2015
    (略瞌睡晕了拼写错误了)
    DeactivateOcean
    xuwenmang
        10
    xuwenmang  
       Jan 7, 2015
    阿里云的,找客服给装了系统,就直接用了。。
    kang000feng
        11
    kang000feng  
       Jan 9, 2015
    有人要用我的邀请链接吗? 各得10刀 https://www.digitalocean.com/?refcode=05c6c3707940
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5551 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 51ms · UTC 07:29 · PVG 15:29 · LAX 00:29 · JFK 03:29
    ♥ Do have faith in what you're doing.