- 主题:如何提高云服务器和内网linux机器的安全
安全组里只允许指定ip访问ssh,就足够过滤掉绝大多数最没有技术含量的骚扰
--
FROM 61.149.4.*
密钥登陆的安全性不是更高么?
把默认端口都改一下,另外设置ip访问白名单
【 在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了,连怎么中的毒,病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器,这些云服务器被我作为和中转,通过tinc和wg连内网linux机器,有家里的,由公司的。并且为了少输入密码,我还给这些云服务器配置了ssh密钥,可以登录任何一台内网服务器(其实是所有机器的root都可以相互密钥访问)。如果云服务器要是中毒了,那么和这些云服务器相连的机器会被一锅端,想想就觉的害怕。
: 我现在情况是:有8台linux机器(在家用宽带的内网)+4台云服务器(也是linux),云服务器作为我从外部访问内网linux机器的跳板(但是为了访问方便,所有机器都用同一个密钥和相同的authorized_keys,这样可以相互访问)。安全方面没有研究,只是关闭了所有服务器ssh的root登录和密码登录,只允许密钥登录,云服务器只对外开ssh端口tinc端口wg端口,内网服务器则没有做限制。
: ...................
--
FROM 144.7.12.*
公网用天融信防火墙隔了一层,只开放了要用的几个端口的nat ,特定端口还有白名单,这种的安全配置咋样?
网安是知识盲区,对这种硬件防火墙的防护能力也没啥信心……如果把防火墙攻破了,内网的服务器估计跟裸奔没啥区别
【 在 hyoga (白鸟·没见过猪跑,还没吃过猪肉吗?) 的大作中提到: 】
: 我个人的经验/原则是:尽可能减少非服务性端口的广域暴露(比如http/https,这需要
: 提供给公网的话)。
: 那么根据这个原则能做的(我前面也提到过的,抛砖引玉,仅供参考):
: 1)source ip白名单,简单好用,尤其对于ssh这类只需要自己访问的。
--
FROM 223.65.186.*
买设备竟然不带售后服务吗?
【 在 butely 的大作中提到: 】
: 公网用天融信防火墙隔了一层,只开放了要用的几个端口的nat ,特定端口还有白名单,这种的安全配置咋样?
: 网安是知识盲区,对这种硬件防火墙的防护能力也没啥信心……如果把防火墙攻破了,内网的服务器估计跟裸奔没啥区别
--
FROM 210.191.53.*
ufw
fail2ban
【 在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了,连怎么中的毒,病毒传播方式都不知道。
:
: 联想到我有几个长期暴露在公网的云服务器,这些云服务器被我作为和中转,通过tinc和wg连内网linux机器,有家里的,由公司的。并且为了少输入密码,我还给这些云服务器配置了ssh密钥,可以登录任何一台内网服务器(其实是所有机器的root都可以相互密钥访问)。如果云服务器要是中毒了,那么和这些云服务器相连的机器会被一锅端,想想就觉的害怕。
:
: 我现在情况是:有8台linux机器(在家用宽带的内网)+4台云服务器(也是linux),云服务器作为我从外部访问内网linux机器的跳板(但是为了访问方便,所有机器都用同一个密钥和相同的authorized_keys,这样可以相互访问)。安全方面没有研究,只是关闭了所有服务器ssh的root登录和密码登录,只允许密钥登录,云服务器只对外开ssh端口tinc端口wg端口,内网服务器则没有做限制。
:
: 我不懂网络安全,感觉这么做很不正规有安全隐患。恳请各位大佬帮忙看一下该如何才能提高这些云服务器和内网linux的安全性?
--
FROM 221.216.116.*
带,但是我喜欢自己折腾,防火墙和核心交换机是我自己学着配的
【 在 hyoga (白鸟·没见过猪跑,还没吃过猪肉吗?) 的大作中提到: 】
: 买设备竟然不带售后服务吗?
: 【 在 butely 的大作中提到: 】
: : 公网用天融信防火墙隔了一层,只开放了要用的几个端口的nat ,特定端口还有白名单,这种的安全配置咋样?
: : 网安是知识盲区,对这种硬件防火墙的防护能力也没啥信心……如果把防火墙攻破了,内网的服务器估计跟裸奔没啥区别
--
FROM 223.65.186.*
那肯定是和设备厂商的售后交流效果更好哇
【 在 butely 的大作中提到: 】
: 带,但是我喜欢自己折腾,防火墙和核心交换机是我自己学着配的
--
FROM 122.210.84.*
公网机器少开端口。ssh这块用复杂密码。其实用密钥已经足够,只不过私钥不要丢,最好加密钥密码,分开保存。
【 在 ttaudi (ttaudi) 的大作中提到: 】
: 最近有版友说不知不觉中毒了,连怎么中的毒,病毒传播方式都不知道。
:
: 联想到我有几个长期暴露在公网的云服务器,这些云服务器被我作为和中转,通过tinc和wg连内网linux机器,有家里的,由公司的。并且为了少输入密码,我还给这些云服务器配置了ssh密钥,可以登录任何一台内网服务器(其实是所有机器的root都可以相互密钥访问)。如果云服务器要是中毒了,那么和这些云服务器相连的机器会被一锅端,想想就觉的害怕。
:
--
FROM 221.216.155.*
没有那么不安全
管好ssh
其它都是小事
【 在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了,连怎么中的毒,病毒传播方式都不知道。联想到我有几个长期暴露在公网的云服务器,这些云服务器被我 ...
--
FROM 104.156.253.*
这种有安全措施的防护,更多的可能是配置错误(修改配置,安全防护失效了)导致的安全问题。建议以后做变更做一下验证,比如是否多暴露了端口在互联网上,或者临时开启了ssh密码登录等等。
【 在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了,连怎么中的毒,病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器,这些云服务器被我作为和中转,通过tinc和wg连内网linux机器,有家里的,由公司的。并且为了少输入密码,我还给这些云服务器配置了ssh密钥,可以登录任何一台内网服务器(其实是所有机器的root都可以相互密钥访问)。如果云服务器要
: 侵卸玖耍敲春驼庑┰品务器相连的机器会被一锅端,想想就觉的害怕。
: ...................
--
FROM 111.11.231.*