有朋友问,装上宝塔,布署好代码或安装好防护的插件,做了以上课节所说的安全操作,是不是就可以了?服务器就安全了,不用再顾虑出现问题了?是这样吗——朋友们想一下!
答案当然是肯定的,不是的!
1、关闭不必要的服务器安全组端口
两个方面入手,一个是通过宝塔面板->安全,找到不常用的端口,如:FTP的20、21端口等;
如下图(5-1-3):
如果,你不使用FTP完全可以关掉相关的端口,上图(5-1-3)步1所示的端口操作删除即可;
二是在服务器安全组,如阿里云ECS安全组入方向,也同时操作删除相关的端口即可。
操作可以参考:
1-5 服务器安全组(访控列表)设置
2、从基础开始,及时安装系统补丁
不论是Windows还是Linux,任何操作系统都有漏洞,及时的打上补丁避免漏洞被蓄意攻击利用,是服务器安全最重要的保护手段之一,所以我们要定期为服务器系统打补丁:
方法一:
是通过服务器供应商提供的打补丁工具、第三方防护软件如:安全狗等修补漏洞等操作。
方法二:
一旦发现系统报漏洞,若是Linux自己可以通过SSH连接到服务器,然后运行相关补丁安装文件来安装。windows可以直接通过系统更新来更新补丁安装。
Linux下的漏洞修补方案:
我们可以在Linux下运行更新命令来修补系统漏洞:(更新的方式)
#CentOs写法
yum update
#Ubuntu(乌班图)写法
sudo apt-get update
以CentOS为例,如下图(5-2-1)所示:
我们直接在Linux系统下运行以上CentOS的更新命令,系统会自动从云端下载更新版本的系统应用下载安装更新,运行过程可能需要用户二次确定,如下图(5-2-2):
我们看到,合计的下载大小为115M,下面Is this ok[y/d/N]? 我们选择y (即确定的意思),全部更新即可。操作都是类似的Ubuntu就不介绍了。
Windows下的漏洞修补方案:
我们通过宝塔的远程连接工具或其它的连接工具,登录到Windows界面,然后在开始菜单->控制面板->系统和安全,下面找到如下图(5-2-3)所示的Windows Update,若未启用,就先启用,点击进入到Windows更新窗口。
进入后(如下图5-2-4),直接点击检查更新,若发现有新补丁直接安装即可完成更新,需要注意的是,安装完补丁需要重新启动系统,可以推迟到夜间12点后再重新启动!
3、通过SSH连接系统获取安全记录文件
操作系统内部的记录文件是检测是否有网络入侵的重要记录。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行:
more /var/log/secure | grep refused
如上图(5-2-5)所示:
Feb 23 09:07:40 ecs-s6-xlarge-2-linux-20200208140355 sshd[16604]: refused connect from 197.202.66.131 (197.202.66.131)
通过以上命令来检查系统所受到的攻击,以便采取诸如IP限制等等措施,如使用SSH来替换Telnet/rlogin等。