如何提高云服务器和内网linux机器的安全

水木社区手机版

主题:如何提高云服务器和内网linux机器的安全
楼主|ttaudi|2025-07-15 00:23:07|只看此ID
最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。

联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密钥访问）。如果云服务器要是中毒了，那么和这些云服务器相连的机器会被一锅端，想想就觉的害怕。

我现在情况是：有8台linux机器（在家用宽带的内网）+4台云服务器（也是linux），云服务器作为我从外部访问内网linux机器的跳板（但是为了访问方便，所有机器都用同一个密钥和相同的authorized_keys，这样可以相互访问）。安全方面没有研究，只是关闭了所有服务器ssh的root登录和密码登录，只允许密钥登录，云服务器只对外开ssh端口tinc端口wg端口，内网服务器则没有做限制。

我不懂网络安全，感觉这么做很不正规有安全隐患。恳请各位大佬帮忙看一下该如何才能提高这些云服务器和内网linux的安全性？
--
FROM 223.73.3.*
1楼|cppbuilder|2025-07-15 01:10:35|只看此ID
我也不懂网络安全，看看你说的公钥登录危险觉得很有道理

想知道我平时用的macbook安全还是软路由安全...看起来笔记本更容易中毒

【在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密钥访问）。如果云服务器要
: 侵卸玖耍敲春驼庑┰品务器相连的机器会被一锅端，想想就觉的害怕。
: ...................
--
FROM 1.202.11.*
2楼|zxqnyl|2025-07-15 02:52:11|只看此ID
可以先装个Linux版本的杀毒软件应应急
【在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。
:
: 联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是
: ..................

发自「今日水木 on XT2451-4」

※ 来源:·水木社区 http://www.mysmth.net·[FROM: 114.244.198.*]

FROM 114.244.198.*
3楼|hyoga|2025-07-15 09:46:00|只看此ID
Linux服务器的最大安全威胁不是病毒，是非预期访问。
【在 zxqnyl 的大作中提到: 】
: 可以先装个Linux版本的杀毒软件应应急
: 发自「今日水木 on XT2451-4」
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 114.244.198.*]
: ...................
--
FROM 122.210.84.*
4楼|hyoga|2025-07-15 09:48:21|只看此ID
我个人的经验/原则是：尽可能减少非服务性端口的广域暴露（比如http/https，这需要
提供给公网的话）。
那么根据这个原则能做的（我前面也提到过的，抛砖引玉，仅供参考）：
1）source ip白名单，简单好用，尤其对于ssh这类只需要自己访问的。
2）端口敲门，适合上面的第一条不太有条件满足的情况，发一串序列过去就好了，
其实一点也不麻烦。
3）额外的：可以考虑“内网”机器间互访的方向，适当从严。不太好理解，举个例子：
我家里有一台虚拟机对外暴露http/https端口，那么我认为这台虚拟机有被攻击的可能，
于是内网其他服务器都禁止从这台虚拟机发起访问（只允许从其他机器访问这台机器）。
【在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密钥访问）。如果云服务器要
: 侵卸玖耍敲春驼庑┰品务器相连的机器会被一锅端，想想就觉的害怕。
: ...................
--
FROM 122.210.84.*
5楼|hgoldfish|2025-07-15 09:52:15|只看此ID
你用 ssh-agent，然后 bash alias ssh="ssh -A"

以后就不用在中转的机器配置 KEY 了。

【在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密钥访问）。如果云服务器要
: 侵卸玖耍敲春驼庑┰品务器相连的机器会被一锅端，想想就觉的害怕。
: ...................
--
FROM 120.37.22.*
6楼|sendfree|2025-07-15 09:58:29|只看此ID
做好云服务器端口管控，定期检查进程列表。
秘钥登录的安全性已经比较高了。如果有需求，可以再加上 knockd 端口敲门服务。

【在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密钥访问）。如果云服务器要是中毒了，那么和这些云服务器相连的机器会被一锅端，想想就觉的害怕。
: 我现在情况是：有8台linux机器（在家用宽带的内网）+4台云服务器（也是linux），云服务器作为我从外部访问内网linux机器的跳板（但是为了访问方便，所有机器都用同一个密钥和相同的authorized_keys，这样可以相互访问）。安全方面没有研究，只是关闭了所有服务器ssh的root登录和密码登录，只允许密钥登录，云服务器只对外开ssh端口tinc端口wg端口，内网服务器则没有做限制。
: ...................
--
FROM 183.17.229.*
7楼|creek|2025-07-15 10:09:34|只看此ID
学习了。要求不高的话可以了。公网暴露的主机关闭密码登录，俺觉得一般也够了。俺有些公网主机连密码登录都没关。【汗】

【在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密钥访问）。如果云服务器要是中毒了，那么和这些云服务器相连的机器会被一锅端，想想就觉的害怕。
: 我现在情况是：有8台linux机器（在家用宽带的内网）+4台云服务器（也是linux），云服务器作为我从外部访问内网linux机器的跳板（但是为了访问方便，所有机器都用同一个密钥和相同的authorized_keys，这样可以相互访问）。安全方面没有研究，只是关闭了所有服务器ssh的root登录和密码登录，只允许密钥登录，云服务器只对外开ssh端口tinc端口wg端口，内网服务器则没有做限制。
: ...................
--
FROM 183.194.72.*
8楼|hyoga|2025-07-15 10:09:07|只看此ID
提到非预期访问，我想起我家里的一个例子。
简单地说，有一天我突然发现我家里的出口软路由有问题了，
登上去看了一下发现根分区满了（32G，只装了一个最小需求的系统）
进一步查看，发现是dnsmasq有大量密集的超长查询，日志量暴涨把空间写满了。
到此我才回想起来：
1）我的机器iptables一直以来只针对tcp进行了严防死守，忽略了udp，因为
我没有开过任何udp端口
2）有一天我突然觉得在内网也用和公网统一的域名访问比较好，在公网就解析成
公网IP，在内网就解析成内网IP，这样方便一丢丢。于是就装了一个dnsmasq
但是在我配置完并启动之后，突然有别的事情我就去处理了，然后回来就忘了检查
3）因为这个功能已经实现了，我就完全忘了其实我的工作还没有做完
4）然后就被攻击了，而且是持续很多天的攻击，我也不知道别人为啥这么有持久力。

总之呢，这是一个非常低级的失误。但是我想说的是，安全真的是要时时记心头，
时时提醒自己，时时去检查确认，持之以恒的才行。
【在 hyoga 的大作中提到: 】
: Linux服务器的最大安全威胁不是病毒，是非预期访问。
--
FROM 122.210.84.*
9楼|iwannabe|2025-07-15 10:29:09|只看此ID
云服务器跑k8s，只开ssh端口，用密钥登陆，所有暴露公网的跑在容器里，用ingress暴
露，docker之间隔离，用ingress/egress配置访问权限。

【在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc
: 和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务
: 器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密
: 钥访问）。如果云服务器要
: 侵卸玖耍敲春驼庑┰品务器相连的机器会被一锅端，想想就觉的害怕。
: ...................
--
FROM 119.139.199.*