苏苏的服务器于2024年9月19日正式成立,目前正满服务器的广阔领域中不断探索与前行。在此,我诚挚地邀请您对我的服务器提出宝贵的见解和建议。
服务器信息
- 服务器使用的系统版本Debian11
- 1Panel社区版来管理web服务器。(专业版推荐码:xiaomi)
目前,在苏苏的服务器搭建了WordPress博客平台 www.suyehe.com和导航站平台dh.suyehe.com 两个web服务。
安全设置
苏苏的服务器采用了一系列先进且全面的安全措施来确保服务器的稳定与安全运行,具体包括:
UFW(Uncomplicated Firewall):我们配置了UFW防火墙,为服务器提供了强大的访问控制功能。通过精细配置规则,我们能够允许或拒绝特定类型的网络流量,从而保护服务器免受潜在威胁的侵扰。
1.两步验证:我们实施了严格的两步验证机制,为账户登录过程增加了额外的安全层。这一措施有效防止了未经授权的访问,即使密码被泄露,也能大大降低账户被非法登录的风险。
2.HTTPS协议:所有数据传输均通过HTTPS协议进行加密,确保数据在传输过程中的安全性和完整性。这有助于保护用户隐私,防止敏感信息被截获或篡改。
3.流量限制:为了抵御DDoS等流量攻击,我们实施了智能的流量限制策略。这些策略能够识别并过滤掉异常流量,保护服务器免受恶意攻击的影响,确保服务的连续性和可用性。
4.Fail2ban:Fail2ban是一个强大的入侵预防软件,它通过分析日志文件来识别并阻止多次尝试登录失败的IP地址。这一措施有效防止了暴力破解等攻击手段,进一步增强了服务器的安全性。
两步验证
1Panel 是一个现代化、开源的 Linux 服务器运维管理面板,登录1Panel等同于获取了服务器的root权限。两步验证(也称为双因素认证)确实是一种非常有效的安全措施,它要求用户在登录时除了输入用户名和密码外,还需要提供一个动态验证码。这个动态验证码是通过微软Authenticator生成的,每次登录时都会生成一个新的、一次性的验证码。
当账号密码泄露了,攻击者也无法通过这些信息登录系统,因为他们还需要获取动态验证码。这样一来,大大提高了系统的安全等级。
步骤:
面板设置 – 安全 – 两步验证
HTTPS协议
为1Panel设置 https 协议访问,确保数据在传输过程中的安全性和完整性。
步骤:
面板设置 – 安全 – 面板 SSL
证书创建步骤:网站 – 证书 – Acme 账户 – 创建(输入邮箱确定) – 申请证书 – 填写域名 -选择Acme账户 – 验证方式(HTTP)
流量限制
流量限制设置访问网站的并发数量、单IP限制和请求流量限制,苏苏的网络日记就我和有缘人看,不需要太多的并发和请求,无需支持高并发和请求量,太多小服务器也扛不住啊。
步骤:
Fail2ban
今早看服务器的登录日志,两百多页的登陆失败日志,全球各地的ip疯狂撞库。在日志上面提示可通过工具箱中的 Fail2ban 屏蔽暴力破解 IP。1Panel未提供一键安装Faile2ban,需要手动安装。
步骤:
1、安装 Fail2bansudo apt-get install fail2ban
2、Debian 12 及以上的版本需要手动安装 rsyslogsudo apt-get install rsyslog
3、启动 Fail2ban 服务sudo systemctl start fail2ban
4、开机自启动sudo systemctl enable fail2ban
手动安装完成后就可以在工具箱
中看到Fail2ban,使用图形化配置策略。设置后还是有各地的登录日志,只是日志的增长频率降低了
UFW
看着登录日志还有低频的登录日志,在翻看1Panel的手册时看到防火墙里有禁止ping
的功能,想着是不是可以开启这功能,攻击者ping不到服务器,认为这服务器不在线就不攻击了。防火墙和Fail2ban一样需要手动安装
步骤:
1安装 UFWsudo apt install ufw
2、如果你在远程位置连接你的服务器,在启用 UFW 防火墙之前,你必须显式允许进来的 SSH 连接。否则,你将永远都无法连接到机器上。sudo ufw allow 22/tcp
\\如果 SSH 运行在非标准端口,你需要将上述命令中的 22 端口替换为对应的 SSH 端口。
3、放开 1Panel 系统端口。sudo ufw allow 8090/tcp
\\上述命令中的 8090 端口需要替换为安装 1Panel 系统时自定义的端口。
4、启动 UFWsudo ufw enable
写到这里时,困了。
起床接着写发现天塌了
服务器禁止ping有什么用?服务器禁止ping(也称为禁用ICMP Echo请求响应)是一种网络安全措施,它在多个层面上提供了保护。以下是禁止ping的一些主要作用:
1.隐藏服务器存在:通过不响应ICMP Echo请求(即ping请求),服务器能够在一定程度上隐藏自己的存在。这可以防止潜在的攻击者通过扫描网络来发现服务器,进而将其作为攻击目标。虽然这种方法并不能完全阻止所有形式的扫描和攻击,但它能增加攻击者发现服务器的难度,为服务器提供一层额外的保护。2.减少不必要的流量:如果服务器响应所有的ping请求,那么在网络中可能会有大量的ICMP Echo请求和响应包被交换,这些包可能来自于合法的网络管理操作,但也可能来自于恶意扫描或网络测试。禁止ping可以减少这种不必要的网络流量,有助于保持网络的清洁和高效。
3.防止拒绝服务攻击(DoS):虽然ICMP洪水攻击(即大量发送ICMP请求以耗尽目标系统的资源)并不是最常见的DoS攻击形式,但禁止ping可以降低这种攻击的风险。通过不响应ICMP请求,服务器能够避免成为ICMP洪水攻击的目标。
4.增强安全性感知:通过实施禁止ping的策略,管理员可以向组织内部和外部传达出对服务器安全性的重视。这种措施表明,服务器已经采取了一定的安全措施来防止潜在的网络攻击,从而提高了整体的安全性感知。
5.符合安全策略:在某些行业或组织中,禁止ping可能是安全策略的一部分。这些策略可能要求所有服务器和关键网络设备都遵循特定的安全准则,包括不响应ICMP请求。通过遵守这些策略,组织可以确保其网络基础设施的安全性符合行业标准和法规要求。
需要注意的是,虽然禁止ping可以提供一定的安全保护,但它并不是一种万能的解决方案。攻击者仍然可以通过其他方式(如端口扫描、漏洞利用等)来发现和攻击服务器。因此,在实施禁止ping策略的同时,还需要结合其他安全措施来确保服务器的安全。
来自文学一言的回答
开启禁止ping后,确实一个小时都没有登录日志。然而今早起床一看冒出几十条登录日志。对禁止ping陷入了怀疑,先把ssh换个端口吧。
不如问问AI
云服务器的安全设置是确保数据和服务免受未经授权访问和潜在威胁的关键步骤。以下是一些重要的云服务器安全设置措施:
1. 身份认证与授权
- SSH密钥认证:禁用密码登录,改用SSH密钥认证来登录服务器,这可以大大增加登录的安全性。
- 多因素认证(MFA):启用MFA来增加额外的安全层,即使用户名和密码被泄露,攻击者也难以登录。
- 基于角色的访问控制(RBAC):为不同的用户或用户组分配不同的角色和权限,确保他们只能访问执行其任务所需的资源。
2. 网络与端口安全
- 更改默认端口:将默认的SSH端口(如22)更改为一个不常用的端口,以减少暴力破解攻击的风险。
- 配置防火墙规则:使用云提供商的防火墙服务或服务器上的防火墙安全组来限制进出流量,只允许必要的端口和IP地址访问。默认策略应设置为“拒绝所有”,然后逐一添加允许的规则。
- IP白名单:设置IP白名单,仅允许来自特定IP地址或地址段的访问。
3. 系统与软件安全
- 定期更新系统:保持操作系统和所有软件包更新,以修复已知漏洞。
- 启用自动安全更新:确保服务器始终运行最新的补丁版本。
- 使用强密码:如果必须使用密码,确保密码足够复杂,并定期更换。
4. 数据保护
- 加密存储:使用全盘加密或加密文件系统来保护存储在服务器上的敏感数据。
- 传输加密:通过SSL/TLS加密数据传输,确保数据在传输过程中的安全性。
5. 安全监控与审计
- 日志审计:定期审查登录和用户活动日志,检测异常行为。
- 日志监控:使用工具监控服务器日志文件,及时发现和响应安全事件。
- IDS/IPS系统:安装入侵检测系统(IDS)或入侵防御系统(IPS),如Snort或OSSEC,监控和响应可疑活动。
6. 备份与恢复
- 定期备份:设立自动备份计划,定期备份数据,并确保备份数据存储在安全的位置。
- 测试恢复:定期测试备份恢复流程,确保数据在发生故障时能够快速恢复。
7. 禁用不必要的服务与用户
- 禁用不必要的服务:关闭不必要的服务和端口,减少潜在的攻击面。
- 禁用不必要的账户:移除或禁用不必要的用户账户,如默认管理员账户。
8. 安全编码与部署
- 安全编码实践:开发和部署应用时,遵循安全编码规范,减少漏洞风险。
- 使用Web应用防火墙(WAF):对于托管Web应用的服务器,使用WAF来保护应用免受常见的攻击,如SQL注入和跨站脚本攻击(XSS)。
9. 第三方审计与评估
- 定期安全评估:定期进行全面的安全评估,识别和修复潜在的安全漏洞。
- 第三方审计:邀请第三方安全专家进行定期审计和渗透测试,确保安全设置的有效性和完整性。
新设置
针对AI的回答做了如下新设置:
- 禁用密码登录,开启密钥认证。
- 开启WAF。
- 1Panel整体每周备份至云盘。
暂无评论内容