部署了Discourse之后,遇到过一次被挂区块链程序打满CPU的情况。
后来把程序干掉,清理了程序和未知用户。
因为只部署了Discourse,所以怀疑是用的论坛已知漏洞,然后升级到了论坛最新版本。
请教下,大家在管理和维护自己的服务器时,还会做哪些方面的安全事项?
防火墙
防火墙是肯定要装机器上的,并且端口只开放了 443 和 22。
22 的端口还只限制了部分 IP 段的访问,通常只允许给内部网络的 SSH。
Web 服务应该只走 443,80 端口的做好自动重定向到 443。
CloudFlare
可以用一个 CloudFlare 的负载均衡。
好处是,你的 IP 地址被 CloudFlare 给屏蔽了,直接 Ping 你的网站得到的是 CloudFlare 的 IP 地址。
另外,CloudFlare 也能够帮你挡住一些不正常有威胁的访问。
备份恢复
不管再怎么防范,日常备份肯定要做的。
一般来说 1 天一个备份就够了,最差最差的情况也可以让你的程序很快恢复。
备份的时候最好采取异地备份的方式,不要把备份文件放在本地上,要备份到云存储上。
以防止别人拿到了你的服务器控制权后连备份都拿不回来了。
备份上,也需要看看备份文件的大小,通常备份文件的大小是会增加的,也需要注意下,备份了,但是没有成功的情况,上面通常会有时间戳。
流量监控
网站的流量通常都会有一定规律的,如果有条件拿到 Nginx 的 Access 日志,就可以对每天的访问流量进行监控,如果突然出现不正常的流量就要担心了。
因为我们是附件和文本分离的,大的流量其实丢给了 AWS 的 CloudFront,所以对我们来说流量那边就比较好看。
CPU 和内存使用
这个多是因为有植入木马或者别人用你机器挖矿的这种情况。
表现就是 CPU 被长时间占用到 100%,网站访问上能明显感觉到速度下降。
某些 VPS 服务商,对长时间 CPU 使用率超过 100% 可能会给你邮件通知。
登录用户
SSH 的用户需要使用强密码,禁止 root 用户登录系统。
密码隔一段时间换一个,这样通常不会那么容易被攻入系统。
邮件通知
管理员可以设置一些邮件通知,比如发布回复内容的通知等等。
总结
其实上面的一些配置大部分就是为了让管理员能够了解下当前运行状况。
主要这个是在技术层面的,多了解下流量,基本上也就差不多了。
被植入木马,很多时候是因为其他的原因,我们的其他服务器出现过几次这种情况,多是因为 Linux 自带的防火墙都没有开,还别说硬件防火墙了,整个就在裸奔。
当开了 Linux 自带的防火墙后,到目前,被植入挖矿程序的问题,几乎没有出现。
2 Likes
感谢回复。
论坛面向的大部分用户是国内的,看到有朋友说上CloudFlare会导致反向优化,我尝试一个月,验证下,如果访问速度不是太影响,安全就更重要些。
还了解到一个“宝塔面板”的程序,免费版比较简单,有价值的功能在收费版上。
CloudFlare 有时候是可能会出现一些问题,比如说校验访问情况,对频繁访问可能会屏蔽掉一些等等。
但,大部分情况来说使用 CloudFlare 能够做到一些均衡访问的提升。
CloudFlare,自己也有访问数据在上面,可以登录 CloudFlare 来看看访问的情况。
在国内貌似 CloudFlare 是和百度合作的,具体情况我们感觉还行,只能说是有了也没有感觉就能起飞了。