最最最最基本的服务器网站维护防御攻略
最最最最基本的服务器网站维护防御攻略
由于最近网站服务器被暴力破解过一次导致数据库文件丢失被威胁过一次。
虽然好在本地有数据库备份成功备份没有太大影响,但是这不得不让我们开始留心服务器以及网站的安全方面有所欠缺。
经过一番学习以及交流讨论主要发现一些问题:一开始服务器端口并没有限制属于完全开放的状态,这使得安全性大大降低。并且因为我们之前需要通过Xshell软件进行SSH连接开放了22端口这样就使网站风险提升。同时其他一些业务端口的开启也会增加风险。
方法一:业务端口的封闭
以下是一些常用的端口解析:
21端口:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。
端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。目前,通过FTP Windows中可以通过Internet信息服务(IIS)来提供FTP连接和管理,也可以单独安装FTP服务器软件来实现FTP功能,比如常见的FTP Serv-U。
操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。另外,21端口还会被一些木马利用。如果不架设FTP服务器,建议关闭21端口。
22端口:22端口主要用于SSH(安全外壳协议)
端口说明:安全外壳(SSH)用来加密网管会话,该加密基于RSA,基于TCP端口号22
操作建议:这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行SSH)
23端口:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。
端口说明:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启Telnet服务的客户端就可以登录远程Telnet服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中,键入“Telnet”命令来使用Telnet远程登录。
操作建议:利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。Telnet服务的23端口也是TTS(Tiny Telnet Server)木马的缺省端口。所以,建议关闭23端口。
根据以上操作建议,通过腾讯云的安全组-修改规则中关闭端口。
方法二:修改22端口(SSH远程连接端口的修改)
虽然前面的方法一可以使得安全性有所提高但却有一个问题就是使得用软件进行SSH远程连接变得十分不方便,每次用时需要开启,不用时需关闭,于是考虑修改服务器的22端口以防暴力破解,同时也可以使得我们可以正常通过SSH进行远程连接。
1. 先用命令查询日志
cat /var/log/secure | awk '/Failed/{print $(NF-3)}' | sort | uniq -c | awk '{print $2" = "$1;}'
如果发现很多数据, 说明很多软件在登录破解你的服务器, 如果没有错误数据, 那倒问题不大。
2. 找到22端口,新增新的端口号
首先修改配置文件
vi /etc/ssh/sshd_config #vi打开文件后,按 I键 进入编辑模式,然后按下面的要求添加端口配置,最后按 ESC键 退出编辑模式并输入 :wq 保存并退出vi编辑器
找到#Port 22一段,这里是标识默认使用22端口,修改为如下(新增2666端口):
保存退出
然后我们重启SSH。
/etc/init.d/ssh restart #如果提示服务不存在,那就用 /etc/init.d/sshd restart# CentOS7 则用 systemctl restart sshd.service
这样SSH端口将同时工作与22和2666上。
3. 1 配置防火墙(以下演示为iptable防火墙)
首先我们添加防火墙规则(示例端口为 2666,自己改):
`iptables -I INPUT -p tcp --dport 2666 -j ACCEPT`
如果不清楚你们是否配置了防火墙开机启动和开机启动读取防火墙配置文件,所以我这里也写上步骤,建议你们都做一下,避免重启VPS后,SSH端口防火墙没有开放导致无法连接服务器。
Ubuntu 系统:
iptables-save > /etc/iptables.up.rulesecho -e '#!/bin/bash\n/sbin/iptables-restore < /etc/iptables.up.rules' > /etc/network/if-pre-up.d/iptableschmod +x /etc/network/if-pre-up.d/iptables
以后需要保存防火墙规则只需要执行:
iptables-save > /etc/iptables.up.rule
测试成功:
取消默认SSH端口 22
vi /etc/ssh/sshd_config
我们再打开SSH配置文件,删除 Port 22 这一行,然后重启SSH即可。
/etc/init.d/ssh restart #如果提示服务不存在,那就用 /etc/init.d/sshd restart# CentOS7 则用 systemctl restart sshd.service。
现在请使用ssh工具连接2666端口,来测试是否成功。如果连接成功了,则再次编辑sshd_config的设置,将里边的Port22删除,即可。
之所以先设置成两个端口,测试成功后再关闭一个端口,是为了方式在修改conf的过程中,万一出现掉线、断网、误操作等未知情况时候,还能通过另外一个端口连接上去调试以免发生连接不上必须派人去机房,导致问题更加复杂麻烦。
至此端口这方面维护完毕。
方法三:对网站域名配置CDN
接下来考虑假如网站被DDos攻击的预防方法
首先对CDN做一个基本的介绍:内容分发网络(Content Delivery Network,CDN),是在现有 Internet 中增加的一层新的网络架构,由遍布全球的高性能加速节点构成。这些高性能的服务节点都会按照一定的缓存策略存储您的业务内容,当您的用户向您的某一业务内容发起请求时,请求会被调度至最接近用户的服务节点,直接由服务节点快速响应,有效降低用户访问延迟,提升可用性。
表面上看这是一个单纯的对网站访问加速作用,但是当有人想通过域名查询IP的时候网站配置了CDN后出了会访问本站服务器还会访问腾讯云本身为了加速配置的服务节点的IP从而可以迷惑对方使他不知道攻击哪个IP。
未配置CDN:
根据腾讯云文档配置CDN(因腾讯云文档对如何配置CDN有详细介绍,在此不再赘述):
配置成功:
通过域名查询:
至此全部完成。
最最最最基本的服务器网站维护防御攻略相关推荐
- 电子商务网站互联网安全防御攻略
电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的.本文总结了一些比较通用的 web 安全防御常识,供大家参考一下,也希望可以和关心这一块的同行一起讨论一下这方面的话题. 1. 信息传输 ...
- 腾讯云服务器 有mysql吗_腾讯云服务器、数据库购买攻略
腾讯云服务器.数据库购买攻略 怎么买更省钱?购买页里面就有很多玄机! step 1--注册腾讯云首先,你肯定需要一个腾讯云账号,这里值得注意的是,腾讯云默认是QQ登陆,只要你有QQ账号,输入账号和密码 ...
- 服务器远程管理app,用什么软件远程管理服务器最好? - 选择攻略!
用什么软件远程管理服务器最好? - 选择攻略! (2012-06-13 01:59:02) 标签: 服务器 管理 最好 杂谈 用什么软件远程管理服务器最好? - 选择攻略! 远程控制就是从一台计算机上 ...
- 传奇设置云服务器的端口,传奇服务器端口设置详细攻略详细操作分享
对于任何一个传奇私服gm来说设置服务端可谓是驾轻就熟,因为在我们开服过程中服务端是首先需要做的事情之一.只有这里没有什么问题之后我们的服务器才能接纳更多的玩家进行游戏,但是就是这样一个简单的设置对于大 ...
- 传奇3服务器数据修改,传奇3游戏架设技术之3.0服务器架设和设置攻略详细分享...
传奇这个ip经过这么多年的沉淀之后在互联网上可以说是越来越火,就目前的情况来看传奇游戏中存在着大量的骨灰级玩家,他们中一些人接触和开始玩传奇游戏已经有十余年的时间了.想要这些玩家在一个服务器中长期待下 ...
- linux redhat配置网卡,Linux_RedHat服务器网卡阵列配置攻略,网卡阵列配置1.修改vi /etc/rc.d/r - phpStudy...
RedHat服务器网卡阵列配置攻略 网卡阵列配置1.修改vi /etc/rc.d/rc.local文件,增加以下内容(注意这里添加的是eth0.eth1两个网口) 复制代码代码如下: ifenslav ...
- 最强蜗牛服务器维护祷告攻略,最强蜗牛维护补偿在哪里领取-维护补偿领取攻略...
最强蜗牛维护补偿在哪里领?在最强蜗牛中,经常会版本维护更新,每次更新后,玩家就可以领取维护补偿,有玩家想知道怎么领取维护补偿,下面小编就来告诉大家,一起来看看吧! 最强蜗牛维护补偿领取位置 最强蜗牛维 ...
- 如何发布.Net MVC 网站项目(攻略集锦)
转载自诗人江湖老,原文地址 参考文献 既然是攻略,就必然有参考文献,放在文章开头,以示敬意! 1.MVC项目发布步骤 2.未能从程序集加载"System.ServiceModel.Activ ...
- 2022阿里云学生服务器申请地址购买攻略及配置选择
简介: 阿里云学生服务器优惠价格9.5元/月,可选ECS云服务器和轻量应用服务器,2020阿里云学生服务器「云翼计划」依旧可以申请 2020阿里云学生服务器优惠申请云翼计划,学生群体9.5元获得一台阿 ...
最新文章
- android studio 的自动更新问题
- Juniper批量新增用户命令工具
- Storm/JStorm之TopologyBuilder源码阅读
- 【Java Web开发指南】Spring一些基础问题整理
- grep、cut、awk、sed文本处理
- linux测试网页装载时间,使用curl测试web页面响应加载速度
- flash cs4 java运行时_加载外部数据时Flash CS4 IDE内部缓存
- 【招聘(深圳)】TCL通讯科技控股有限公司
- 一个浪漫又悲情的爱情故事...
- Scrapy 简介及初探
- 开发自己的工作流(一)
- 在eclipse环境中配置hadoop开发环境遇到的问题
- 353万播放0转化背后,虚假繁荣的微博生态
- java short 转char_byte,short,char的类型转换
- 【Phusion Passenger】应用服务器
- Android 手机实现网络嗅探发现周围设备(类似悟空遥控器)
- 芒果不能用百度了,怎么办?
- CaffeNet简介
- 四川泸州市高职计算机学校,四川泸州职高学校有哪些?
- UltraISO打开Ubuntu镜像ISO文件只有EFI文件夹
热门文章
- Star CCM+ 如何创建自己的物性参数数据库
- bizhubc226说明书_让打印文件不再单调 柯尼卡美能达 bizhub C226为你服务
- 国家开放大学 计算机网络形式测试二
- 巧妙解决window系统盘不足 而又不想全盘格式分区 增加C盘空间大小的问题
- angular 使用ng-zorro添加iconfont图标
- 听书唾手可及,教你自己制作喜欢的有声小说
- S60 3rd手机权限突破
- 木马点击器泛滥 点击欺诈威胁互联网广告
- 基于jsp+mysql+java+ssm驾校预约管理系统——计算机毕业设计
- mysql备份脚本 shell_linux中mysql备份shell脚本代码 相关自动化脚本