V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
azuginnen
V2EX  ›  问与答

拿到新的 digital ocean 的一台 vps 需要做哪些事情

  •  
  •   azuginnen · 2015-01-07 17:59:37 +08:00 · 7233 次点击
    这是一个创建于 3413 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前没有用过vps, 不知道一些最佳实践是啥。

    一开始root 设置了一个弱密码,果断被人黑了,vps变成了一个ddos 肉鸡。
    被do封锁了,后来交涉了一下才重装了系统。

    搜索了一下,解决类似问题的全是中文blog。

    后来搜索这个社区的帖子,主要有

    1. 装上fail2ban
    2. 设置iptable
    3. 不要用弱密码,要用ssh
    4. 关于端口,只放行有限端口,ssh端口改掉
    5. 不要用root

    其他呢?

    还有 http://v2ex.com/t/160041#reply11 这个帖子,被攻击怎么办呢。被 ddos 也算我的流量 啊。

    感谢!
    11 条回复    2015-01-09 04:29:30 +08:00
    czheo
        1
    czheo  
       2015-01-07 18:02:45 +08:00 via iPhone
    差不多够了
    mcone
        2
    mcone  
       2015-01-07 18:03:20 +08:00
    把密码登陆禁掉,换私钥登陆

    其实你把你前面说的都做了,就基本差不多了,最可怕的就是光看/说不做
    TrustyWolf
        3
    TrustyWolf  
       2015-01-07 18:08:27 +08:00   ❤️ 1
    改SSH端口禁用root登陆就行了
    CentOS 7的初始化设置可以参考我的博客:
    https://blog.trusty.wolf.moe/
    博客的美国节点就是使用了Digital Ocean的纽约机房的VPS ^_^
    zinev
        4
    zinev  
       2015-01-07 18:22:05 +08:00   ❤️ 1
    azuginnen
        5
    azuginnen  
    OP
       2015-01-07 20:13:19 +08:00   ❤️ 1
    好吧。这是我从v站搜索到的

    分享给有需要的人

    ===

    1、修改iptable只开放80端口(或需要使用的其他端口)
    2、新建一个用户(eg:tweb),分配某块区间(eg:/usr/www/myweb)的读写权限,并禁止其登陆。tomcat就交给这个用户管理。这样,及时网站被破解了拿到了用户密码,也只能操作这个区间内的东西,不会影响你其他的分区和资源。
    3、不要拿tomcat做http服务器,装nginx或apache做这个事情。把图片、css、js等静态资源交给nginx处理,动态请求交给tomcat处理。
    4、用类似Fail2Ban这样的东西限制登录次数,保证不被穷举破解。
    5、其实,Linux的安全核心应该是:用户+iptable。二者配合,足够啦。

    ===

    另一条

    做物理隔离最简单,VPN次之,上公网后安全没有一劳永逸,有的搞。
    以linux中debian/ubuntu为例,最基础的:

    1. 系统内核参数,改/etc/sysctl.conf 跳转参数。
    2. 端口只开放 ssh/http/https, 改ssh 端口到其它数字,并fail2ban,
    条件许可时ssh用ip白名单、纯证书访问。
    3. 服务器内各进程权限独立,特别是私有程序编译时,除了守护进程用root,其它全部降权。
    4. 用户权限与文件夹权限:关闭root登陆,管理员另起sudo用户名,web文件夹755 文件644
    各种配置文件640加服务器Deny Access Protection,多用户隔离。
    5. 如果允许用户上传文件,取消一切执行权限,最好放在另一台media服务器。
    6. Hot Links/Reverse Proxy偷流量好防,DDOS被盯上就要出血,穷人解法用varnish/load balancer稍微挡一下,总之得烧钱。

    网站程序自身还要具备各种Validation, SSL加密敏感交互,特殊字符escape,防SQL注入和XSS机制。
    Tomcat 和 Oracle具体防护又是另外话题了,感觉运维里面很大一部分成本被安全占了。


    ===


    对于确保linux系统安全的,不知道大家还有没有心得。
    20140930
        6
    20140930  
       2015-01-07 21:27:25 +08:00
    我就把密码改成一个50位以上随机生成的密码,装个ss,其他的什么都不改也没见被人黑了
    Draplater
        7
    Draplater  
       2015-01-07 21:43:11 +08:00 via Android
    使用公钥登录就不担心弱口令问题了
    typcn
        8
    typcn  
       2015-01-07 21:47:20 +08:00
    DisactiveOcean
    DontOrder
    typcn
        9
    typcn  
       2015-01-07 21:48:50 +08:00
    (略瞌睡晕了拼写错误了)
    DeactivateOcean
    xuwenmang
        10
    xuwenmang  
       2015-01-07 22:05:43 +08:00
    阿里云的,找客服给装了系统,就直接用了。。
    kang000feng
        11
    kang000feng  
       2015-01-09 04:29:30 +08:00
    有人要用我的邀请链接吗? 各得10刀 https://www.digitalocean.com/?refcode=05c6c3707940
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1354 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:45 · PVG 07:45 · LAX 16:45 · JFK 19:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.