服務(wù)器防護教程 - 寶塔篇
視頻教程--->在線觀看
寶塔環(huán)境作為服務(wù)器管理和運維的重要工具,其安全防護至關(guān)重要。以下是一些關(guān)鍵的安全防護措施:
1. 面板設(shè)置
(1) 面板賬號、密碼都使用復(fù)雜組合的長字符串,避免使用純數(shù)字、純字母等易破解
(2) 安全設(shè)置(按下圖開啟對應(yīng)功能),有條件還可以進一步加強安全,比如啟用:動態(tài)口令認證、訪問設(shè)備驗證、密碼復(fù)雜度驗證、綁定域名。
注意:要更改面板端口時,請先在寶塔(安全->防火墻)添加新端口號,以及阿里云\騰訊云等服務(wù)器也要放開該端口號
在設(shè)置地區(qū)登錄限制時,一般選中地區(qū)放行即可,如圖:
2. 強密碼策略,使用復(fù)雜且不易猜測的密碼,并定期更換密碼,以減少被暴力破解的風險。
(1) 寶塔面板登錄、BasicAuth認證密碼
(2) 數(shù)據(jù)庫賬號、密碼
(3) FTP賬號、密碼
(4) 所有網(wǎng)站后臺管理賬號、密碼
3. 防火墻配置
結(jié)合操作系統(tǒng)防火墻,對不必要的端口進行關(guān)閉,僅開放必要的服務(wù)端口,以限制潛在的攻擊面。一般情況下,網(wǎng)站默認使用上圖這些端口,如寶塔默認會存在一些額外端口,若無需要建議刪掉:
(1) 20、21(FTP端口,不嫌麻煩改用寶塔管理,如果一定要用FTP,強烈改用SFTP進行SSH遠程服務(wù),下節(jié)課會講到)
(2) 22(SFTP端口,也是FTP的另一種方式,不需要FTP可以刪掉端口)
(3) 3306(一般情況可以刪掉端口,如果要使用Navicat for MySQL工具管理,可以放行端口并指定只允許你的網(wǎng)絡(luò)IP)
(4) 6379(Redis緩存專用,如果沒有安裝Redis插件或服務(wù),可以刪掉端口)
(5) 888(phpMyAdmin默認端口,建議刪掉,通過登錄寶塔面板訪問較為安全)
(6) 其他端口號不一一列舉,用不上可以刪掉,誤刪導致訪問不了,再增加端口號回來。
同時阿里云/騰訊云/華為云等運營商對應(yīng)服務(wù)器實例,也要對安全組規(guī)則做增加、刪減端口處理。
(6) 如果網(wǎng)站業(yè)務(wù)地區(qū)明確,可以增加地區(qū)規(guī)則,屏蔽掉一些國家,阻止入侵。
4. SSH遠程服務(wù)(采用22端口服務(wù),更安全的一種FTP傳輸,簡稱:SFTP)
(1) 下載FTP工具 FileZilla(免費開源)
(2) 通過SSH遠程連接服務(wù)器
(3) 推薦在寶塔里修改網(wǎng)站文件,盡量少用這些外部工具連接,開放越多越不安全,比如:不用工具后可以關(guān)閉SSH
(4) 如果非要建FTP普通賬號給客戶,強烈要求賬號密碼設(shè)置較復(fù)雜一些,防被爆破影響整臺服務(wù)器入侵中毒。
5. 加強寶塔里網(wǎng)站的安全防護
(1) 配置網(wǎng)站HTTPS協(xié)議,為網(wǎng)站提供加密通信,防止數(shù)據(jù)在傳輸過程中被截獲或篡改。
(2) 配置網(wǎng)站目錄權(quán)限,啟用防跨站攻擊、訪問日志,防止黑客通過其他網(wǎng)站目錄進行入侵攻擊,并記錄入侵日志。
(3) 啟用HTTPS防竄站,解決HTTPS竄站的問題
6. 更新軟件和補丁也至關(guān)重要,及時關(guān)注官方更新,可以有效減少存在漏洞被利用的風險
(1) 寶塔面板更新
(2) 寶塔軟件商店里所安裝的軟件都可能存在漏洞,及時更新
(3) 服務(wù)器操作系統(tǒng)(以阿里云為例)
① 登錄阿里云,進入【安全與合規(guī)】模塊:
https://home.console.aliyun.com/home/dashboard/securitycenter
根據(jù)儀表盤提示進行一些漏洞修復(fù),并做好安全檢測修補。
② 進入云安全中心,查看漏洞管理,并根據(jù)阿里云提供的方案處理
https://yundun.console.aliyun.com/
7. 檢查所有網(wǎng)站根目錄并刪掉源碼壓縮包,每份源碼的加密串不同,黑客會利用服務(wù)器權(quán)限漏洞進行掃描目錄,下載壓縮包分析漏洞進行攻擊。
8. 定期備份數(shù)據(jù)是關(guān)鍵。無論是網(wǎng)站數(shù)據(jù),還是ECS服務(wù)器快照,都應(yīng)定期進行備份,并存儲在安全的位置。一旦遭遇攻擊或數(shù)據(jù)丟失,可以迅速恢復(fù)。
