鉴于腾讯云主机因弱口令频繁被入侵,通过加固可以避免高危端口暴露在外。
不使用个人QQ账号申请自研业务腾讯云主机。
能够管理腾讯云的QQ 密码需要符合强密码要求,为避免撞库攻击,不得在其他地方使用过。
为避免服务器被爆破SSH
不得使用12345678 football等容易猜到、以及基于键盘移位 !QAZ2wsx 等弱口令。
避免使用密码,使用证书登录。
选定一台能够访问公网的运维机作为跳板机执行 cd; ssh-keygen –t rsa 生成密钥对。执行cat .ssh/id_rsa.pub 显示并复制公钥内容。
建议第一种方法:在腾讯云官网添加SSH密钥
关闭云主机后,将密钥绑定到你的主机实例。腾讯云将会自动关闭SSH密码登录并开启证书登录。
第二种方法:命令行添加公钥 (记得将公钥保存一份)
在跳板机输入 cat .ssh/id_rsa.pub | ssh [email protected] 'cat >> .ssh/authorized_keys'
或者登录上Linux服务器后直接追加.ssh/authorized_keys
为避免服务器被爆破扫描,或限制访问高危服务,或者避免不小心开放高危端口,建议对服务器实施安全组策略,根据业务需要限制网络出入流量。
如图所示,腾讯云已经自带一些安全组,默认都是全开的策略,会导致安全工单的爆发。例如一台默认配置的Windows Server服务器扫描结果:
第一步:根据业务特性,先从一个自带安全组克隆出来。注意选定服务器所在地区
然后编辑如图: 所有ICMP是允许,然后3389限定公司办公网出口可访问,然后剩下所有互联网流量全丢掉。如果你还有80或者8080 需要对外提供服务,就插入一条80 或者8080 的TCP策略,允许0.0.0.0/0
然后记得检查 “出站规则” ,最顶部要允许,要不然就访问不了外网。保存。
最后在云主机列表配置安全组,勾选刚才配置的安全组,再取消勾选默认的安全组。Done
前提是使用64bit Linux ;安装
查看状态