1、开启云盾所有服务

2、通过防火墙策略限制对外扫描行为

请您根据您的服务器操作系统,下载对应的脚本运行,运行后您的防火墙策略会封禁对外发包的行为,确保您的主机不会再出现恶意发包的情况,为您进行后续数据备份操作提供足够的时间。

Window2003的批处理文件下载地址:http://oss.aliyuncs.com/aliyunecs/windows2003_drop_port.bat

Window2008的批处理文件下载地址:http://oss.aliyuncs.com/aliyunecs/windows2008_drop_port.bat

Linux系统脚本:http://oss.aliyuncs.com/aliyunecs/linux_drop_port.sh

上述文件下载到机器内部直接执行即可。

文件内容如下:

#!/bin/bash
#########################################
#Function:    linux drop port
#Usage:       bash linux_drop_port.sh
#Author:      Customer Service Department
#Company:     Alibaba Cloud Computing
#Version:     2.0
#########################################check_os_release()
{while truedoos_release=$(grep "Red Hat Enterprise Linux Server release"/etc/issue 2>/dev/null)os_release_2=$(grep "Red Hat Enterprise Linux Server release"/etc/redhat-release 2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "release 5" >/dev/null2>&1thenos_release=redhat5echo "$os_release"elif echo "$os_release"|grep "release 6">/dev/null 2>&1thenos_release=redhat6echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep "Aliyun Linux release" /etc/issue2>/dev/null)os_release_2=$(grep "Aliyun Linux release" /etc/aliyun-release2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "release 5" >/dev/null2>&1thenos_release=aliyun5echo "$os_release"elif echo "$os_release"|grep "release 6">/dev/null 2>&1thenos_release=aliyun6echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep "CentOS release" /etc/issue 2>/dev/null)os_release_2=$(grep "CentOS release" /etc/*release2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "release 5" >/dev/null2>&1thenos_release=centos5echo "$os_release"elif echo "$os_release"|grep "release 6">/dev/null 2>&1thenos_release=centos6echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep -i "ubuntu" /etc/issue 2>/dev/null)os_release_2=$(grep -i "ubuntu" /etc/lsb-release2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "Ubuntu 10" >/dev/null2>&1thenos_release=ubuntu10echo "$os_release"elif echo "$os_release"|grep "Ubuntu 12.04">/dev/null 2>&1thenos_release=ubuntu1204echo "$os_release"elif echo "$os_release"|grep "Ubuntu 12.10">/dev/null 2>&1thenos_release=ubuntu1210echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep -i "debian" /etc/issue 2>/dev/null)os_release_2=$(grep -i "debian" /proc/version 2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "Linux 6" >/dev/null2>&1thenos_release=debian6echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep "openSUSE" /etc/issue 2>/dev/null)os_release_2=$(grep "openSUSE" /etc/*release 2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep"13.1" >/dev/null 2>&1thenos_release=opensuse131echo "$os_release"elseos_release=""echo "$os_release"fibreakfibreakdone
}exit_script()
{echo -e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"rm-f $LOCKfileexit 1
}config_iptables()
{iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROPiptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROPiptables -I OUTPUT 3 -p udp -j DROPiptables -nvL
}ubuntu_config_ufw()
{ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186ufwdeny out proto udp to anyufwstatus
}####################Start###################
#check lock file ,one time only let thescript run one time
LOCKfile=/tmp/.$(basename $0)
if [ -f "$LOCKfile" ]
thenecho -e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"exit
elseecho -e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"touch $LOCKfile
fi#check user
if [ $(id -u) != "0" ]
thenecho -e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"rm-f $LOCKfileexit 1
fiecho -e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"
os_release=$(check_os_release)
if [ "X$os_release" =="X" ]
thenecho -e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"rm-f $LOCKfileexit 0
elseecho -e "\033[40;32mThis OS is $os_release.\n\033[40;37m"
fiecho -e "\033[40;32mStep 3.Begen toconfig firewall.\n\033[40;37m"
case "$os_release" in
redhat5|centos5|redhat6|centos6|aliyun5|aliyun6)service iptables startconfig_iptables;;
debian6)config_iptables;;
ubuntu10|ubuntu1204|ubuntu1210)ufwenable <<EOF
y
EOFubuntu_config_ufw;;
opensuse131)config_iptables;;
esacecho -e "\033[40;32mConfig firewallsuccess,this script now exit!\n\033[40;37m"
rm -f $LOCKfile

3、设置iptables,限制访问

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -P INPUT DROPservice iptables save

以上脚本,在每次重装完系统后执行一次即可,其配置会保存至/etc/sysconfig/iptables

此步骤参考http://www.netingcn.com/aliyun-iptables.html

由于作为web服务器来使用,所以对外要开放 80 端口,另外肯定要通过ssh进行服务器管理,22 端口也要对外开放,当然最好是把ssh服务的默认端口改掉,在公网上会有很多人试图破解密码的,如果修改端口,记得要把该端口对外开发,否则连不上就悲剧了。下面提供配置规则的详细说明:

第一步:清空所有规则当Chain INPUT (policy DROP)时执行/sbin/iptables -F后,你将和服务器断开连接
所有在清空所有规则前把policy DROP该为INPUT,防止悲剧发生,小心小心再小心
/sbin/iptables -P INPUT ACCEPT
清空所有规则
/sbin/iptables -F
/sbin/iptables -X
计数器置0
/sbin/iptables -Z第二步:设置规则允许来自于lo接口的数据包,如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping 127.0.0.1
/sbin/iptables -A INPUT -i lo -j ACCEPT 开放TCP协议22端口,以便能ssh,如果你是在有固定ip的场所,可以使用 -s 来限定客户端的ip
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT开放TCP协议80端口供web服务
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT10.241.121.15是另外一台服务器的内网ip,由于之间有通信,接受所有来自10.241.121.15的TCP请求
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT接受ping
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT这条规则参看:http://www.netingcn.com/iptables-localhost-not-access-internet.html
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT屏蔽上述规则以为的所有请求,不可缺少,否则防火墙没有任何过滤的功能
/sbin/iptables -P INPUT DROP可以使用 iptables -L -n 查看规则是否生效

至此防火墙就算配置好,但是这是临时的,当重启iptables或重启机器,上述配置就会被清空,要想永久生效,还需要如下操作:

/etc/init.d/iptables save
或
service iptables save执行上述命令可以在文件 /etc/sysconfig/iptables 中看到配置

以下提供一个干净的配置脚本:

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -P INPUT DROP

最后执行 ,先确保ssh连接没有问题,防止规则错误,导致无法连上服务器,因为没有save,重启服务器规则都失效,否则就只有去机房才能修改规则了。也可以参考:ubuntu iptables 配置脚本来写一个脚本。

4、常用网络监控命令

(1) netstat -tunl:查看所有正在监听的端口

[root@AY1407041017110375bbZ ~]# netstat -tunl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN
udp        0      0 ip:123           0.0.0.0:*
udp        0      0 ip:123           0.0.0.0:*
udp        0      0 127.0.0.1:123               0.0.0.0:*
udp        0      0 0.0.0.0:123                 0.0.0.0:*

其中123端口用于NTP服务。

(2)netstat  -tunp:查看所有已连接的网络连接状态,并显示其PID及程序名称。

[root@AY1407041017110375bbZ ~]# netstat -tunp
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0     96 ip:22            221.176.33.126:52699        ESTABLISHED 926/sshd
tcp        0      0 ip:34385         42.156.166.25:80            ESTABLISHED 1003/aegis_cli

根据上述结果,可以根据需要kill掉相应进程。

如:

kill -9 1003

(3)netstat -tunlp

(4)netstat常用选项说明:

-t: tcp

-u : udp
-l, --listening
       Show only listening sockets.  (These are omitted by default.)
-p, --program
       Show the PID and name of the program to which each socket belongs.
--numeric , -n
Show numerical addresses instead of trying to determine symbolic host, port or user names.

5、修改ssh的监听端口

(1)修改 /etc/ssh/sshd_config

原有的port 22

改为port 44

(2)重启服务

/etc/init.d/sshd restart
(3)查看情况

 netstat -tunl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp        0      0 0.0.0.0:44               0.0.0.0:*                   LISTEN
udp        0      0 ip:123           0.0.0.0:*
udp        0      0 ip:123           0.0.0.0:*
udp        0      0 127.0.0.1:123               0.0.0.0:*
udp        0      0 0.0.0.0:123                 0.0.0.0:*

阿里云服务器安全设置相关推荐

  1. nginx nodejs环境配置_nodejs + nginx + ECS阿里云服务器环境设置

    nodejs + nginx + ECS阿里云服务器环境设置 部署 nodejs ECS 基于 CentOS7.2 详细步骤:click 部署 nginx 安装 添加Nginx软件库: [root@l ...

  2. 阿里云服务器如何设置IPV6通过appstore的审核

    文章来源:http://www.cnblogs.com/vijayfly/p/6612771.html 苹果上架要求:要求支持IPV6only(因为阿里云主机没有IPV6only) 确认IPV6是否开 ...

  3. 阿里云服务器设置IPV6通过AppStore审核

    阿里云服务器如何设置IPV6通过appstore的审核 苹果上架要求:要求支持IPV6only(因为阿里云主机没有IPV6only) 确认IPV6是否开启: 方式1:使用ifconfig查看自己的IP ...

  4. 确认个人电脑外网ip,并设置阿里云服务器只允许该ip访问

    担心不小心把阿里云服务器地址.业务服务端口push到github上,所以对阿里云服务器进行设置,只允许本机ip访问.没想到还遇到些坑,本人太菜.记录下来 基础环境 个人电脑一台或若干台,只要是连接到一 ...

  5. [CentOS Python系列] 四.阿里云服务器CentOS连接远程MySQL数据库及pymsql

    从2014年开始,作者主要写了三个Python系列文章,分别是基础知识.网络爬虫和数据分析. Python基础知识系列:Pythonj基础知识学习与提升 Python网络爬虫系列:Python爬虫之S ...

  6. 阿里云服务器排坑指南

    外网访问 阿里云服务器需要设置安全策略 云服务器ECS -> 网络与安全 -> 安全组 -> 配置规则 -> 添加安全组规则 防火墙 打开防火墙,并打开相应端口

  7. 10038错误,无法连接上阿里云服务器上的MySQL

    这个错误,网上说的很多,基本上说的都是服务器端口没有开放的原因,我也到阿里云服务器上设置过,发现并不是这个的原因,附上解决方法: 配置安全组规则即可 错误是:2003 can't connect to ...

  8. 阿里云国际版设置电子邮件托管教程详解

    本教程介绍如何在阿里云服务器上设置电子邮件托管.我们将逐步完成设置电子邮件托管所涉及的所有步骤,以便您可以通过链接到已购买域名的地址发送和接收电子邮件. 先决条件 要学习本教程,您需要一个阿里云账号. ...

  9. 利用NB-IoT技术实现终端数据传送到阿里云服务器

    利用NB-IoT技术实现终端数据传送到阿里云服务器 本文使用的是UDP协议 目的:将终端数据从本地发送到服务器上 硬件平台 :NB_BC35-G无线通信模组,利用USB转串口接到PC上, 软件平台 : ...

最新文章

  1. 从eclipse中下载到手机的android程序总是旧的版本
  2. 中法计算机专业,计算机专业中法对照词汇
  3. CobaltStrike使用
  4. Linux 下的dd命令使用详解(摘录)
  5. aud to php,HKD to PHP
  6. 重磅!Uber发布史上最简单的深度学习框架Ludwig!不懂编程也能玩转人工智能
  7. 车牌处理程序-学-使-警 fileparts 的用法
  8. 创业公司的技术总监,去上市公司面试,结果凉了。
  9. opencv算法精解 c++/python
  10. 使用Lucene.net+盘古分词实现搜索查询
  11. buu刷题日记 asis2016_b00ks
  12. JAVA计算机毕业设计智慧茶园综合管理系统Mybatis+源码+数据库+lw文档+系统+调试部署
  13. 时间轮 (史上最全)
  14. Linux中vi上下键变成ABCD
  15. 用python使图形动起来?
  16. 网易云信IM web demo测试
  17. 藏汇于民只是一张空头支票
  18. Android Glide图片加载-缓存机制(内存缓存和磁盘缓存)
  19. 【从零搭建一个淘宝客公众号01】- 开篇介绍
  20. 电子商务:众多消费者的个性需求

热门文章

  1. (~解题报告~)L1-019 谁先倒 (15分) ——17行代码AC
  2. 30行代码AC_HDU-5933 ArcSoft‘s Office Rearrangement(模拟+题解报告)
  3. 神奇的用法_续行符——反斜杠
  4. Python中常见的语法糖
  5. 传统公司部署OpenStack(t版)简易介绍(八)——Dashboard模块部署
  6. 内网端口转发-LCX基本使用
  7. git status 不能显示中文
  8. iris数据_MAT之ELM:ELM实现鸢尾花(iris数据集)种类测试集预测识别正确率(better)结果对比...
  9. ldap基本dn_LDAP学习笔记 - 基础
  10. 容器可以作为全局变量吗_四季青是风水树吗?哪些可以作为风水树?