阿里云服务器如何安全加固保障服务器安全

阿里云服务器Linux安全加固
1. 修改远程端口
SSH攻击扫描端口的时候通常会扫描固定端口,扫描到之后才会进行暴力攻击,修改远程端口,会降低SSH服务被扫描到的可能性。配置过程如下:
(1) 编辑ssh服务配置文件/etc/ssh/sshd_config,将其端口修改为自己想要的端口,保存退出。注意修改端口后,对应的安全组、防火墙规则也需修改端口。 (2) 重启ssh服务:若为centos 7 操作系统,则使用systemctl restart sshd(若为centos 6 操作系统,则使用service sshd restart) (3) 测试远程链接:默认22端口链接失败,修改后的1212端口链接成功。
2. 禁用root登陆
禁用root账号直接登录,使用普通账号登录,普通账号登陆之后su到root账号,降低被恶意扫描或者暴力登录的概率。配置过程如下:
(1) 创建普通用户。 (2) 编辑sudo配置文件/etc/sudoers,为用户添加sudo权限。 (3) 编辑ssh服务配置文件/etc/ssh/sshd_config,修改PermitRootLogin属性,将yes修改为no。
说明:yes表示允许root远程登录,no表示禁止root远程登录。禁用root账号必须确保首先有一个普通权限的用户可以远程登录。远程登录使用普通权限的用户登录后根据需要sudo到root权限。 (4) 重启阿里云服务器,测试远程链接:test用户登陆成功,root用户登陆失败。

3. 配置指定地址登陆
建议使用安全组进行限制,安全组配置如下:
(1) 打开阿里云控制台,在左侧导航栏中选择:弹性计算>安全组。 (2) 创建安全组:点击创建选项,在弹出的界面中输入安全组名称及描述,单击确定创建完成。 (3) 规则管理:点击对应安全组的“管理规则”选项,可对安全组规则进行管理。安全组介绍及管理操作说明见帮助中心:安全组规则管理
(4) 测试远程链接:安全组规则允许的IP地址登陆成功,不允许IP地址登陆失败。

4. 禁用密码登陆,使用密钥登陆
防止无密钥人员恶意登陆及网络暴力攻击(建议在购买阿里云服务器时安全一项中选择密钥)。配置过程如下:
(1) 编辑ssh服务配置文件/etc/ssh/sshd_config,将PasswordAuthentication属性修改为no,保存退出。
说明:yes表示允许密码验证,no表示禁用密码验证功能。 (2) 测试远程链接:只能使用密钥登陆。 (3) 密钥配置过程如下:
a) 执行ssh-keygen命令,生成秘钥。
b) 执行完成后在用户家目录下的.ssh目录会生成公钥及私钥。 c) 将公钥内容导入authorized_keys文件中,并将私钥拷贝到用来登陆服务器的终端。
d) 测试远程链接:密钥登陆成功。

5. 设置密码复杂性要求
使用复杂密码,使暴力破解更加困难。配置过程如下:
(1) 编辑配置文件/etc/pam.d/system-auth,添加一条规则
password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
说明:
retry:尝试次数
difok:最少不同字符
minlen:最小密码长度
ucredit:最少大写字母
lcredit:最少小写字母
dcredit:最少数字
dictpath:密码字典 (2) 验证测试:root用户不受此配置限制,普通用户则会被要求修改密码。

6. 设置禁ping
一般攻击者会批量ping地址来寻找存活的阿里云服务器,禁止ping可以让别人找不到您的阿里云服务器,从而降低被攻击的风险。
(1) 编辑sysctl服务配置文件/etc/sysctl.conf,添加一条规则:net.ipv4.icmp_echo_ignore_all=1
说明:1表示禁ping,0表示允许ping,默认为0。
此方法修改为永久生效,如想临时生效可使用如下命令:echo 1/0/proc/sys/net/ipv4/icmp_echo_ignore_all (2) 执行sysctl -p命令使配置生效。 (3) ping测试:无法ping通阿里云服务器。

7. 设置密码过期时间
定期对密码进行修改,避免密码泄露,增加使用的安全性。
(1) 使用chage命令。
命令说明:
-M:设置密码有效的最大天数
-m:设置可更改密码的最小天数,为0表示任何时候都可以修改
-W:密码过期前,提前收到警告信息的天数。
如需了解更多参数请参考chage --help。

8. 其他安全建议
如有购置1台以上的服务器,可以通过一个或两个(其中一个备用)入口访问,其余服务器使用内网互通登录。
关注操作系统补丁发布、测试、更新。
应用侧安全加固。
建议安装阿里云服务器防护类的安全软件。

9. 补充解决方案
如由于暴力攻击导致阿里云服务器被锁定的,可通过阿里云门户-控制台-VNC登录阿里云服务器。参考如下命令进行操作:
查看某一用户登录错误次数:pam_tally2 --user username
清空某一用户登录错误次数:pam_tally2 --user username --reset
清空root用户登录错误次数,进行解锁:pam_tally2 -user root -reset
备注:如非pam_tally2模块,可尝试通过pam_tally模块或者其他适配系统模块进行操作。

阿里云服务器Windows安全加固
1.修改远程端口
攻击扫描端口时通常会扫描固定端口。修改远程端口,会降低远程链接服务被扫描到的可能性。配置过程如下:
(1) 打开注册表:开始---运行---"regedit"---确定 (2) 定位注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp
将PortNumber的值设置为所需端口号(默认值为3389),基数选择十进制。 (3) 定位注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
将PortNumber的值设置为所需端口号(默认值为3389),基数选择十进制。
说明:两个文件都需要修改,只修改一个不生效 (4) 重启操作系统,测试远程链接:默认3389端口链接失败,修改后的1212端口链接成功。
注:修改远程端口后,可能需要修改对应的安全组,操作方式见安全组管理。

2.使用普通账号登录
使用普通账号登录,并赋予普通账号超级用户权限,降低被恶意扫描或者暴力登录的概率。。 注意:
a、由于阿里云服务器内部有程序依赖默认的Administrator账户,请勿修改默认的Administrator账户名称,否则影响阿里云服务器性能监控、控制台改密等操作;
b、控制台改密修改的是Administrator账户的密码,用户另行创建的账户密码需要登录Administrator账户后进行修改。
普通用户的配置过程如下:
(1) 创建第二个超级用户,服务器管理器-配置-本地用户和组-用户,右侧点击右键新用户,进行用户创建。 (2) 双击创建完毕的用户,点击隶属于-添加,加入Administrators组并删除原来的User组。
(3) 测试登陆用户:有administrator用户,新增的普通用户user01。
3. 配置指定地址登陆
建议使用安全组进行限制,安全组配置如下:
(1) 打开阿里云控制台,在左侧导航栏中选择:弹性计算>安全组 (2) 创建安全组:点击创建选项,在弹出的界面中输入安全组名称及描述,单击确定创建完成。 (3) 规则管理:点击对应安全组的“管理规则”选项,可对安全组规则进行管理。 (4) 测试远程链接:安全组规则允许的IP地址登陆成功,不允许的IP地址登陆失败。
4. 设置禁ping
一般攻击者会批量ping地址来寻找存活的阿里云服务器,禁ping让别人找不到您的阿里云服务器,从而降低攻击风险。
(1) 打开本地安全策略:开始--运行--" secpol.msc--确定。 (2) 创建禁ping过滤列表和过滤操作:右击“IP安全策略,在本地计算机”选择“管理IP筛选器列表和筛选器操作”。 (3) 创建过滤列表:在“管理IP筛选器列表”窗口点击添加按钮,添加禁ping过滤列表。名称自定义,以便管理。点击添加选择下一步,去掉“镜像...”前面的√,选择下一步。 (4) 定义筛选条件:源地址选“任何IP地址”,目标地址选“我的IP地址”,协议类型选“ICMP”,选择下一步点击完成。 (5) 创建过滤操作:在“管理筛选器操作”窗口点击添加按钮,在“安全方法”窗口选择阻止,在“常规”窗口自定义名称。点击确定。
(6) 创建IP安全策略:右击“IP安全策略,在本地计算机”选“创建IP安全策略”,选择下一步,自定义名称,再选择下一步、下一步点击完成。
(7) 编辑IP安全策略:右击新策略名称选择属性,在规则窗口点击添加,选择定义好的IP过滤策略和操作。点击应用完成编辑。 (8) 右击IP安全策略名称选择分配选项以启用策略。 (9) 测试ping操作:禁ping成功。

5. 设置密码复制性要求:
使用复杂密码,使暴力破解更加困难。配置过程如下:
(1) 打开本地安全策略:开始--运行--" secpol.msc--确定。 (2) 在本地安全策略编辑器左边面板展开:账户策略--密码策略。 (3) 启用密码必须符合复杂性要求,双击密码必须符合复杂性要求,点击本地安全设置,勾选已启动(默认)。 (4) 增加密码长度最少值,双击密码长度最少值,点击本地安全设置,按需求填写字符长度,可以设置为1到14个字符,0是不需要密码即可登录(不建议)。

6. 设置密码过期时间
定期对密码进行修改,避免密码泄露,增加使用安全。
(1) 打开本地安全策略:开始--运行--" secpol.msc--确定。 (2) 在本地安全策略编辑器左边面板展开:账户策略--密码策略。 (3) 设置密码过期时间:右击右侧面板“密码最长使用期限”选项,选择“属性”,在“本地安全策略”界面中输入适当的过期天数,0表示永不过期。 (4) 设置密码最短使用期限:右击“密码最短使用期限”,选择“属性”,在“本地安全策略”界面中输入适当的数值,以天为单位,在修改密码后的这些天内无法修改密码,0表示随时可以更改密码。
说明:administrator用户可以随时修改普通用户密码

7. 其他安全建议
如有购置1台以上的服务器,可以通过一个或两个(一个备用)入口访问,其余服务器使用内网互通登录。
关注操作系统补丁发布、测试、更新。
应用侧安全加固。
建议安装阿里云服务器防护类的安全软件。

8. 补充解决方案
(1) 解禁administrator
客户由于个人操作或其他原因,导致administrator被禁用,可通过以下方法解决:
a) 登录阿里云门户-控制台-通过vnc登录阿里云服务器,点击重启按钮,将阿里云服务器进行重启,重启后立刻按多次F8 进入安全模式。
b) 安全模式下administrator能够正常进入系统,依次点击控制面板-管理工具-计算机管理。
c) 点击左侧本地用户和组下面的用户后,双击右侧administrator取消禁止用户。
d) 完成操作后重启阿里云服务器就能正常使用administrator登录。

(2) 拥有超级权限的用户输入错误次数过多,被锁后的解决办法如下:
a) 重启后连续按F8选择安全模式后进入登录画面,点击administrator用户进行登录。
b) 进入系统后点击控制面板-用户账号-管理其他用户-点击需要重置密码的用户。
c) 点击更改密码,进行密码更换。
d) 更改密码后重启即可。通过上述排查后,若阿里云服务器仍不能连接,请您记录检查过程各步骤的排查结果、相关日志信息或截图,然后联系阿里云服务台提供技术支持。