摘要:登錄云服務(wù)器控制臺(tái),可在列表頁(yè)及詳情頁(yè)中獲取主機(jī)公網(wǎng)��。注意如果登錄失敗���,請(qǐng)檢查您的云服務(wù)器實(shí)例是否允許端口的入流量����。端口的查看請(qǐng)參考安全組���,若您的云服務(wù)器處于私有網(wǎng)絡(luò)環(huán)境下,請(qǐng)同時(shí)查看相關(guān)子網(wǎng)的網(wǎng)絡(luò)����。
前言
大約一年前,我的WordPress網(wǎng)站被黑客攻擊了����。
最近服務(wù)器的數(shù)據(jù)庫(kù)又一次被黑了
可氣......
分析原因,可能是mysql設(shè)置的密碼太簡(jiǎn)單了(123456),3306端口也權(quán)限全開(kāi)���,服務(wù)器基本上沒(méi)有加任何安全防固措施�����。在網(wǎng)上搜了一大堆的安全加固資料�����,多而繁瑣���,考慮到開(kāi)發(fā)過(guò)程中的便利性,我選擇了其中兩種加固措施����。
Linux服務(wù)器簡(jiǎn)單的兩項(xiàng)安全加固
1. 服務(wù)器使用ssh秘鑰登錄
騰訊官方社區(qū)教程:
本地Windows計(jì)算機(jī)SSH密鑰登錄
登錄工具
使用 遠(yuǎn)程登錄軟件 ,采用 SSH 密鑰登錄 Linux 實(shí)例(本例中選擇使用 PUTTY�����,用戶(hù)也可以選擇其他類(lèi)型的登錄軟件)��。
操作步驟
安裝 Windows 遠(yuǎn)程登錄軟件��,參考下載地址:http://www.putty.nl/download.... ,分別下載 putty.exe 及 puttygen.exe 兩個(gè)文件��。
選擇私鑰��。打開(kāi) puttygen.exe��,單擊【Load】按鈕���,在彈窗中首先進(jìn)入您存放前提條件中下載下來(lái)的私鑰的路徑��,然后選擇“All File(.)”�����,選擇下載好的私鑰(例子中為文件david�,david是密鑰的名稱(chēng))�����,單擊【打開(kāi)】�。
密鑰轉(zhuǎn)換����。在 key comment 欄中輸入密鑰名��,輸入加密私鑰的密碼�����,單擊【Save private key】����,在彈窗中選擇您存放密鑰的目錄��,然后在文件名欄輸入 密鑰名 +".ppk"�,單擊【保存】按鈕。
打開(kāi) putty.exe ��,進(jìn)入【Auth】配置��。
單擊【Browse】按鈕��,打開(kāi)彈窗后進(jìn)入密鑰存儲(chǔ)的路徑����,并選擇密鑰,單擊【打開(kāi)】��,返回配置界面��,進(jìn)入【Session】配置。
在Session配置頁(yè)中���,配置服務(wù)器的IP�,端口����,連接類(lèi)型。
IP:云服務(wù)器的公網(wǎng)IP��。登錄云服務(wù)器控制臺(tái)���,可在列表頁(yè)及詳情頁(yè)中獲取主機(jī)公網(wǎng)IP�。
端口:云服務(wù)器的端口,必須填22。(請(qǐng)確保云主機(jī)22端口已開(kāi)放����,詳見(jiàn)查看安全組及網(wǎng)絡(luò)ACL)。
在【Saved Sessions】輸入框中中輸入會(huì)話(huà)名稱(chēng)(本例為 test )����,再單擊【Save】按鈕�����,然后雙擊會(huì)話(huà)名稱(chēng)或者單擊【Open】按鈕發(fā)起登錄請(qǐng)求����。
注意:
如果登錄失敗,請(qǐng)檢查您的云服務(wù)器實(shí)例是否允許22端口的入流量����。端口的查看請(qǐng)參考安全組 ,若您的云服務(wù)器處于私有網(wǎng)絡(luò)環(huán)境下����,請(qǐng)同時(shí)查看相關(guān)子網(wǎng)的網(wǎng)絡(luò)ACL。
2. 修改MySQL默認(rèn)的監(jiān)聽(tīng)端口��,同時(shí)添加防火墻規(guī)則
如何查看mysql 默認(rèn)端口號(hào)和修改端口號(hào)
1. 登錄mysql
[root@VM_89_120_centos ~]# mysql -u root -p
Enter password:
2. 使用命令show global variables like "port";查看端口號(hào)
mysql> show global variables like "port";
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| port | 3306 |
+---------------+-------+
1 row in set (0.00 sec)
3. 修改端口����,編輯/etc/my.cnf文件,早期版本有可能是my.conf文件名���,增加端口參數(shù)�����,并且設(shè)定端口�����,注意該端口未被使用�,保存退出。
[root@VM_89_120_centos ~]# vi my.cnf
[mysqld]
port=xxxx
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0
[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
"my.cnf" 11L, 261C written
[root@VM_89_120_centos ~]#
4. 重新啟動(dòng)mysql
[root@VM_89_120_centos ~]# /etc/init.d/mysqld restart
Stopping mysqld: [ OK ]
Starting mysqld: [ OK ]
5.再次登錄后檢查端口已修改為’xxxx’.
添加防火墻規(guī)則�,只允許指定IP段可以訪問(wèn)數(shù)據(jù)庫(kù)端口
[root@VM_89_120_centos ~]# iptables -I INPUT -p tcp --dport xxxx -j DROP
[root@VM_89_120_centos ~]# iptables -I INPUT -s xxx.xxx.xxx.xxx/24 -p tcp --dport xxxx --j ACCEPT
[root@VM_89_120_centos ~]# service iptables save
[root@VM_89_120_centos ~]# service iptables restart
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11301.html
