云服務器（阿里云）的安全組設置

安全組 是一個ECS的重要安全設置，但對小白用戶來說卻很難理解其中晦澀難懂的專業術語。websoft9在此介紹個人的理解：

十年的桃城網站建設經驗，針對設計、前端、開發、售后、文案、推廣等六對一服務，響應快，48小時及時工作處理。全網營銷推廣的優勢是能夠根據用戶設備顯示端的尺寸不同，自動調整桃城建站的顯示方式，使網站能夠適用不同顯示終端，在瀏覽器中調整網站的寬度，無論在任何一種瀏覽器上瀏覽網站，都能展現優雅布局與設計，從而大程度地提升瀏覽體驗。成都創新互聯公司從事“桃城網站設計”,“桃城網站推廣”以來，每個客戶項目都認真落實執行。

阿里云官方解釋 ：安全組是一種虛擬防火墻，用于設置單臺或多臺云服務器的網絡訪問控制，它是重要的網絡安全隔離手段，用于在云端劃分安全域。每個實例至少屬于一個安全組，在創建的時候就需要指定。

注解：簡單理解：服務器什么端口（服務）可以被訪問，什么端口可以被封鎖

例子：服務器80端口是用來提供http服務，如果服務器部署了網站，而沒有開放80端口，這個網站肯定訪問不了，http: //ip 是打不開的。

這是很常見的問題，用戶第一感覺就是購買的服務器有問題或購買的鏡像用不了。

遠程連接（SSH）Linux 實例和遠程桌面連接 Windows 實例可能會失敗。

遠程 ping 該安全組下的 ECS 實例的公網 IP 和內網 IP 可能會失敗。

HTTP 訪問該安全組下的 ECS 實例暴漏的 Web 服務可能會失敗。

該安全組下 ECS 實例可能無法通過內網訪問同地域（或者同 VPC）下的其他安全組下的 ECS 實例。

該安全組下 ECS 實例可能無法通過內網訪問同地域下（或者同 VPC）的其他云服務。

該安全組下 ECS 實例可能無法訪問 Internet 服務。

當用戶購買一個新的服務器的時候，阿里云會提醒選擇安全組，對于一部分入門用戶來說，第一感覺就是選擇一個等級比較高的安全組，這樣更為保險。實際上，等級越高，開放的端口越少。甚至連80端口、21端口都被封鎖了，導致服務器ping不通、http打不開。這樣最常見的訪問都無法進行，用戶第一感覺就是購買的服務器有問題或購買的鏡像用不了。

在Websoft9客服工作中統計發現，96%的用戶瀏覽器http://公網IP 打不開首頁，都是因為安全組的設置關閉了80端口所導致。

第一，找到對應的實例，通過安全組配置選項進入設置。

第二，點擊“配置規則”，進入安全組規則設置。

如何設置SSH代理帳號安全性，怎樣不允許ssh帳號登錄shell

1.更換sshd端口2.禁用ssh密碼登錄，僅使用證書登錄VPS默認的SSHD服務開啟在22端口，互聯網上有很多所謂的“hacker”時刻用ssh掃描工具掃描IP上的22端口，然后用字典工具嘗試是否有類似于“123abc”這樣的若密碼，一旦您的root密碼是弱密碼的話，您的VPS就會成為“肉雞”。下面Hi-VPS介紹幾種簡單的方法來保護您的VPSSSH安全。1.更換sshd端口最簡單的法就是更改sshd默認的22端口，這樣ssh掃描工具就以為這個IP上并沒有開啟sshd服務。sed-i-e's/Port22/Port22233/'/etc/ssh/sshd_config運行上面的命令就把ssh的默認端口改為22233,然后需要重啟sshd服務,生效更改:servicesshdrestart這樣就能在很大程度上解決VPS的ssh被掃描的風險。只需在ssh登錄軟件上把默認的ssh端口也改為22233即可。2.禁用ssh密碼登錄，僅使用證書登錄（使用證書登錄SSH操作比較麻煩，一般用戶在更改默認sshd端口后既可以抵擋一般性的ssd掃描，在不設置ssh證書的前提下也能在很大程度上增加系統的安全性）使用ssh私鑰登錄而不使用密碼登錄，能在更大程度上保證ssh的安全。（1）創建私鑰可以用putty自帶的“PUTTYGEN”來創建私鑰，PUTTYGEN就在putty的目錄下面,雙擊運行后彈出界面.點擊界面中的Generate按鈕,開始生成一個私鑰,在過程中鼠標要不停的隨機移動產生足夠的隨機數來幫助生成高強度的私鑰:組后生成的私鑰就是一個很長的隨機字符串,然后輸入私鑰密碼提示(防止你忘了私鑰密碼),私鑰密碼:先在復制生成的私鑰字符串,然后點擊saveprivatekey來保存私鑰.（2）上傳私鑰至VPS先通過ssh登錄后,運行如下命令創建ssh服務端配對私鑰:mkdir-p$HOME/.sshtouch$HOME/.ssh/authorized_keys\chmodgo-w$HOME$HOME/.ssh$HOME/.ssh/authorized_keysvim$HOME/.ssh/authorized_keys在VIM中按o(小寫),然后右鍵（通過putty登錄ssh的時候，putty右鍵表示復制內容）,剛才的私鑰密碼就復制進去了,然后按Esc,按兩次大寫字母Z,保存退出.（3）在putty中導入私鑰點擊“Broser”按鈕，導入私鑰：然后設置自動登錄用戶,這就不用每次都輸入登錄用戶名了:OK,保存session導入私鑰后,再登錄putty就可以直接輸入比較簡單的私鑰密碼了,不用輸入幾十位原始密碼.（4）禁用VPS的SSHD的密碼登錄首先需要編輯sshd_config文件:vim/etc/ssh/sshd_config把PasswordAuthenticationyes這一行改為:PasswordAuthenticationno然后重啟ssh服務:servicesshdrestart（5）使用PAGEANT代理私鑰如果您有好幾臺VPS需要管理，就可以用使用PAGEANT,每次甚至不用輸入私鑰密碼就能登錄.運行PAGEANT.exe,導入你剛才保存的私鑰文件,PAGEANT會讓你輸入私鑰密碼,輸入后PAGEANT就待在右下角任務欄中,如果需要連接那個ssh,就右鍵點擊PAGEANT,從savedsessions中選擇,直接登錄.

centos7 服務器基本的安全設置步驟

關閉ping掃描，雖然沒什么卵用

先切換到root

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

1代表關閉

0代表開啟

用iptables

iptables -I INPUT -p icmp -j DROP

簡單介紹下基本的 dedecms _aq/' target='_blank'安全設置

一、創建普通用戶，禁止root登錄，只允許普通用戶使用su命令切換到root

這樣做的好處是雙重密碼保護，黑客就算知道了普通用戶的密碼，如果沒有root密碼，對服務器上攻擊也比較有限

以下是具體做法(需要在root下)

添加普通用戶

useradd xxx

設置密碼

passwd xxx

這樣就創建好了一個普通用戶

禁止root登錄

vi /etc/ssh/sshd_config

PermitRootLogin no

Systemctl restart sshd

這樣就完成了第一步，之后root就無法登錄服務器只能通過普通用戶su切換

二、修改ssh的默認端口22，因為ssh的端口是22，我們如果修改了該端口，他們就需要花費一點時間來掃描，稍微增加了點難度

以下將端口改為51866可以根據需要自己更改，最好選擇10000-65535內的端口

step1 修改/etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#Port 22 //這行去掉#號

Port 51866 //下面添加這一行

為什么不先刪除22，以防其他端口沒配置成功，而又把22的刪除了，無法再次進入服務器

step2 修改SELinux

安裝semanage

$ yum provides semanage

$ yum -y install policycoreutils-python

使用以下命令查看當前SElinux 允許的ssh端口：

semanage port -l | grep ssh

添加51866端口到 SELinux

semanage port -a -t ssh_port_t -p tcp 51866

注：操作不成功，可以參考：

失敗了話應該是selinux沒有打開

然后確認一下是否添加進去

semanage port -l | grep ssh

如果成功會輸出

ssh_port_t tcp 51866, 22

step3 重啟ssh

systemctl restart sshd.service

查看下ssh是否監聽51866端口

netstat -tuln

Step4 防火墻開放51866端口

firewall-cmd --permanent --zone=public --add-port=51866/tcp

firewall-cmd --reload

然后測試試試，能不能通過51866登錄，若能登錄進來，說明成功，接著刪除22端口

vi /etc/ssh/sshd_config

刪除22端口 wq

systemctl restart sshd.service

同時防火墻也關閉22端口

firewall-cmd --permanent --zone=public --remove-port=22/tcp

注意如果是使用阿里的服務器需要到阿里里面的安全組添加新的入站規則(應該是因為阿里的服務器是用的內網，需要做端口映射)

三、使用一些類似DenyHosts預防SSH暴力破解的軟件(不詳細介紹)

其實就是一個python腳本，查看非法的登錄，次數超過設置的次數自動將ip加入黑名單。

四、使用云鎖(不詳細介紹)

參考自

總的來說做好了前兩步能夠減少至少百分之五十的入侵，在做好第三步之后，基本可以杜絕百分之八十以上的入侵。當然最重要的還是自己要有安全意識，要多學習一些安全知識和linux的知識。

第三第四其中都有稍微提到一點，感興趣可以看看

阿里云服務器默認遠程端口修改

1、首先登陸阿里云網站，進入控制臺，點擊云服務zhi器ECS，進入服務器控制臺，點擊要選擇的服務器。

2、進入服務器實例列表，找到想要增加端口的實例，點擊后面的更多，再點擊網絡和安全組，在選擇安全組配置按鈕。

3、點擊更多后列表中找到安全組配置，并點擊規則。

4、跳轉到的頁面里，如果想添加新的端口就點擊手動添加。

5、在彈出窗口中輸入內容，比如添加22端口，就在端口范圍里輸入以22/22， 在授權對象里輸入“0.0.0.0/0”意思是允許所有訪問 。

6、點擊確定后看看安全組規則中是否多了一個22的端口，就設置成功了。

步驟1 vim /etc/ssh/sshd_config；

修改端口號

步驟2 執行/etc/init.d/sshd restart

這樣SSH端口將同時工作與22和1022上

步驟3 現在編輯防火墻配置：

添加 -A INPUT -m state --state NEW -m tcp -p tcp --dport 1022 -j ACCEPT

重啟防火墻服務：

步驟4 現在請使用ssh工具連接1022端口，來測試是否成功。

分享題目：服務器安全組怎么設置ssh 服務器安全怎么做
標題網址：http://vcdvsql.cn/article34/ddseppe.html

成都網站建設公司_創新互聯，為您提供域名注冊、外貿建站、小程序開發、移動網站建設、App開發、網站內鏈

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯