购买阿里云服务器后的基本安全配置
<p>1.创建实例前,先创建ssh密钥对,只允许密钥对进行远程登录。具体见:https://help.aliyun.com/document_detail/51792.html?spm=5176.2020520101.193.1.CChOuj</p>
<p>
2.配置自动快照策略,每日一备份,不过貌似现在这个功能开始收费了。具体:</p>
<p align="center">
<img title="购买阿里云服务器后的基本安全配置" alt="购买阿里云服务器后的基本安全配置" align="" src="https://zhuji.jb51.net/uploads/img/202305/2e792533010c32c27d8ef01f24d59ab5.jpg"></p>
<p>
3.安装安骑士进行服务器安全保护。具体:</p>
<p align="center">
<img title="购买阿里云服务器后的基本安全配置" alt="购买阿里云服务器后的基本安全配置" align="" src="https://zhuji.jb51.net/uploads/img/202305/f61826687dbf7fa4bccfdf13786f74da.jpg"></p>
<p align="center">
<img title="购买阿里云服务器后的基本安全配置" alt="购买阿里云服务器后的基本安全配置" align="" src="https://zhuji.jb51.net/uploads/img/202305/084f40547d7efb9e302a08bd155b0e3b.jpg"></p>
<p>
4.配置主机访问控制,限制和允许ip访问特定端口。具体:</p>
<p align="center">
<img title="购买阿里云服务器后的基本安全配置" alt="购买阿里云服务器后的基本安全配置" align="" src="https://zhuji.jb51.net/uploads/img/202305/4fadbb9c523ac000abc288ec5a4080c8.jpg"></p>
<p>
5.配置安全组,限制和允许ip访问特定端口,默认如下,表示无限制:</p>
<p align="center">
<img title="购买阿里云服务器后的基本安全配置" alt="购买阿里云服务器后的基本安全配置" align="" src="https://zhuji.jb51.net/uploads/img/202305/1222dbc6acafb3691da375801fc88021.jpg"></p>
<p>
具体:</p>
<p align="center">
<img title="购买阿里云服务器后的基本安全配置" alt="购买阿里云服务器后的基本安全配置" align="" src="https://zhuji.jb51.net/uploads/img/202305/65388cefc34d9e3ddc9536109c43d8b5.jpg"></p>
<p>
6.配置主机防火墙。具体:</p>
<blockquote>
<p>
# sample configuration for iptables service</p>
<p>
# you can edit this manually or use system-config-firewall</p>
<p>
# please do not ask us to add additional ports/services to this default configuration</p>
<p>
*filter</p>
<p>
:INPUT ACCEPT </p>
<p>
:FORWARD ACCEPT </p>
<p>
:OUTPUT ACCEPT </p>
<p>
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT</p>
<p>
-A INPUT -p icmp -j ACCEPT</p>
<p>
-A INPUT -i lo -j ACCEPT</p>
<p>
#ssh default 222.209.0.0/21=222.209.0.0~222.209.8.0</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -s 183.222.9.18,222.209.0.0/21,本服务器公网ip -j ACCEPT</p>
<p>
#http default</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT</p>
<p>
# https default</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT</p>
<p>
# ftp default</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -s 183.222.9.18,222.209.0.0/21,本服务器公网ip -j ACCEPT</p>
<p>
# ftp passive</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 30000:40000 -s 183.222.9.18,222.209.0.0/21,本服务器公网ip -j ACCEPT</p>
<p>
# tomcat default jenkins</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT</p>
<p>
# my tomcat</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8090 -j ACCEPT</p>
<p>
# my tomcat wiki</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8070 -j ACCEPT</p>
<p>
# my tomcat debug</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 9999 -s 183.222.9.18,222.209.0.0/21,本服务器公网ip -j ACCEPT</p>
<p>
# svn default</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3690 -j ACCEPT</p>
<p>
# redis cluster</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 7001:7006 -s 183.222.9.18,222.209.0.0/21,本服务器公网ip -j ACCEPT</p>
<p>
# redis cluster total line</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 17001:17006 -s 183.222.9.18,222.209.0.0/21,本服务器公网ip -j ACCEPT</p>
<p>
# mysql default</p>
<p>
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -s 183.222.9.18,222.209.0.0/21,本服务器公网ip -j ACCEPT</p>
<p>
# my udp</p>
<p>
-A INPUT -p udp -m state --state NEW -m udp --dport 8888 -j ACCEPT</p>
<p>
-A INPUT -j REJECT --reject-with icmp-host-prohibited</p>
<p>
-A FORWARD -j REJECT --reject-with icmp-host-prohibited</p>
<p>
COMMIT</p>
</blockquote>
<p>
注:183.222.9.18,222.209.0.0/21表示只允许ip大概222.209.0.0到222.209.8.0和183.222.9.18访问。21的子网掩码为:<span>255.255.248.0</span>,内有2048个主机。故从<span>222.209.0.0往上加,满256进一,一直加完2048</span>,截止的ip就是222.209.8.0</p>
<p>
原文地址:https://blog.csdn.net/localhost01/article/details/78170615</p>
頁:
[1]