鑒于騰訊雲主機因弱密碼頻繁被入侵,通過加強可以避免高危端口暴露在外。
不使用個人QQ賬号申請自研業務騰訊雲主機。
能夠管理騰訊雲的QQ 密碼需要符合強密碼要求,為避免撞庫攻擊,不得在其他地方使用過。
為避免伺服器被爆破SSH
不得使用12345678 football等容易猜到、以及基于鍵盤移位 !QAZ2wsx 等弱密碼。
避免使用密碼,使用證書登入。
標明一台能夠通路公網的運維機作為跳闆機執行 cd; ssh-keygen –t rsa 生成密鑰對。執行cat .ssh/id_rsa.pub 顯示并複制公鑰内容。
建議第一種方法:在騰訊雲官網添加SSH密鑰
關閉雲主機後,将密鑰綁定到你的主機執行個體。騰訊雲将會自動關閉SSH密碼登入并開啟證書登入。
第二種方法:指令行添加公鑰 (記得将公鑰儲存一份)
在跳闆機輸入 cat .ssh/id_rsa.pub | ssh [email protected] 'cat >> .ssh/authorized_keys'
或者登入上Linux伺服器後直接追加.ssh/authorized_keys
為避免伺服器被爆破掃描,或限制通路高危服務,或者避免不小心開放高危端口,建議對伺服器實施安全組政策,根據業務需要限制網絡出入流量。
如圖所示,騰訊雲已經自帶一些安全組,預設都是全開的政策,會導緻安全工單的爆發。例如一台預設配置的Windows Server伺服器掃描結果:
第一步:根據業務特性,先從一個自帶安全組克隆出來。注意標明伺服器所在地區
然後編輯如圖: 所有ICMP是允許,然後3389限定公司辦公網出口可通路,然後剩下所有網際網路流量全丢掉。如果你還有80或者8080 需要對外提供服務,就插入一條80 或者8080 的TCP政策,允許0.0.0.0/0
然後記得檢查 “出站規則” ,最頂部要允許,要不然就通路不了外網。儲存。
最後在雲主機清單配置安全組,勾選剛才配置的安全組,再取消勾選預設的安全組。Done
前提是使用64bit Linux ;安裝
檢視狀态