- 主题:如何提高云服务器和内网linux机器的安全
你已经配置为密钥方式登入,禁止了root密码方式登入,并且也没有特别开放其它服务,是比较安全的,应该没有什么问题。
【 在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了,连怎么中的毒,病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器,这些云服务器被我作为和中转,通过tinc和wg连内网linux机器,有家里的,由公司的。并且为了少输入密码,我还给这些云服务器配置了ssh密钥,可以登录任何一台内网服务器(其实是所有机器的root都可以相互密钥访问)。如果云服务器要
: ...................
--
FROM 183.195.38.*
两个情况不一样
1. 你的笔记本不需要使用的时候,是关闭的。
2. 你的笔记本多数情况使用的应该是内网ip,没有独立IP。
3. 云服务器24小时开机,即意味着24小时随时接受外来攻击。
4. 云服务器有独立的公网IP。
所以只要你的笔记本电脑没有内部感染病毒,外部攻破的概率非常小。
【 在 cppbuilder 的大作中提到: 】
: 我也不懂网络安全,看看你说的公钥登录危险觉得很有道理
: 想知道我平时用的macbook安全还是软路由安全...看起来笔记本更容易中毒
:
--
FROM 223.73.3.*
哪里照这样的杀毒软件。。。
好像还没看到过呢
【 在 zxqnyl 的大作中提到: 】
: 可以先装个Linux版本的杀毒软件应应急
发自「今日水木 on XT2451-4」
--
FROM 223.73.3.*
这个倒是,现在是怕即使开着SSH,只允许密钥访问,也被人攻破。
【 在 hyoga 的大作中提到: 】
: Linux服务器的最大安全威胁不是病毒,是非预期访问。
--
FROM 223.73.3.*
感谢分享经验,都是满满的干货啊。
感觉第2条和第3条加起来,可以满足几乎9成9的场景。
【 在 hyoga 的大作中提到: 】
: 我个人的经验/原则是:尽可能减少非服务性端口的广域暴露(比如http/https,这需要
: 提供给公网的话)。
: 那么根据这个原则能做的(我前面也提到过的,抛砖引玉,仅供参考):
: ...................
--
FROM 223.73.3.*
这个好,后面跳转机就不放KEY了,感觉太危险了,一旦跳转机被攻破,就可以直接访问所有内网机器。
【 在 hgoldfish 的大作中提到: 】
: 你用 ssh-agent,然后 bash alias ssh="ssh -A"
: 以后就不用在中转的机器配置 KEY 了。
:
--
FROM 223.73.3.*
有什么工具可以简化这些操作吗?或者说哪些工具可以监视端口,我现在都用netstat -anplt检查端口
另外密钥登录的安全性怎么样,会被攻破吗?
【 在 sendfree 的大作中提到: 】
: 做好云服务器端口管控,定期检查进程列表。
: 秘钥登录的安全性已经比较高了。如果有需求,可以再加上 knockd 端口敲门服务。
:
--
FROM 223.73.3.*
您太牛了。
我曾经为了方便把一台windows的远程桌面端口映射到云服务器,机器是新装的,密码也设置的比较简单,结果第二天就中了勒索病毒,还好资料不多,直接重装了
【 在 creek 的大作中提到: 】
: 学习了。要求不高的话可以了。公网暴露的主机关闭密码登录,俺觉得一般也够了。俺有些公网主机连密码登录都没关。【汗】
:
--
FROM 223.73.3.*
K8S资源消耗怎么样?我一直以为K8S后台进程比较复杂和耗资源,没有docker轻量。加上K8S学不会,就没弄。
我现在的云服务器性能很差,大概就是单核2G内存50G硬盘这种,这样的配置跑K8S没问题把。
【 在 iwannabe 的大作中提到: 】
: 云服务器跑k8s,只开ssh端口,用密钥登陆,所有暴露公网的跑在容器里,用ingress暴
: 露,docker之间隔离,用ingress/egress配置访问权限。
:
: ...................
--
FROM 223.73.3.*
家里宽带没有固定ip呀,所以才搞的云服务器做中转。
现在就是怕云服务器被攻破,然后和云服务器相连的机器全被控制(目前是设置云服务器可以登录tinc或wg网络所有机器)
【 在 tower6 的大作中提到: 】
: 安全组里只允许指定ip访问ssh,就足够过滤掉绝大多数最没有技术含量的骚扰
--
FROM 223.73.3.*