云計算風(fēng)起云涌，企業(yè)服務(wù)器遭受攻擊損失巨大，成了亟待解決的問題。企業(yè)普遍重視上云，卻容易忽略安全防護(hù)的重要性。這可不是什么明智之舉。接下來，我將為大家詳細(xì)介紹上云之后如何進(jìn)行安全防護(hù)。

鎖定默認(rèn)端口

互聯(lián)網(wǎng)入侵通常始于掃描默認(rèn)端口，例如，若攻擊者圖謀侵入低于特定版本的軟件，比如redis3.0以下的版本，他們首先會掃描特定IP段。一旦發(fā)現(xiàn)某服務(wù)器開啟了redis的默認(rèn)端口6379，就會進(jìn)行進(jìn)一步的攻擊。若企業(yè)對此類風(fēng)險一無所知，很可能迅速遭受攻擊。同時，企業(yè)應(yīng)謹(jǐn)慎使用0.0.0.0/0這類端口放行規(guī)則。端口過多開放，就如同家中大門敞開，對小偷來說極為危險。

網(wǎng)絡(luò)安全風(fēng)險無時無刻不在，企業(yè)對此必須給予高度重視。以為只要引入了云計算服務(wù)，一切問題便能迎刃而解，這種想法實在是大錯特錯。對端口防護(hù)的忽視，極有可能引發(fā)嚴(yán)重的后果。

系統(tǒng)與軟件更新

masscan -p6379 49.111.0.0/16 --rate 10000 >> scan.txt

舊版操作系統(tǒng)和軟件往往存在不少漏洞。這就像一件破洞的衣服，很容易被冷風(fēng)鉆進(jìn)去。在云計算領(lǐng)域，若不定期更新，攻擊者就有了可乘之機(jī)。比如，黑客可能利用這些漏洞進(jìn)行密碼暴力破解。如果他們的密碼字典足夠強(qiáng)大，機(jī)器運算能力足夠強(qiáng)，使用像hydra這樣的工具，破解也就變得輕而易舉。因此，企業(yè)使用云計算時，必須養(yǎng)成定期更新的好習(xí)慣。

忽視軟件更新極不安全。若企業(yè)系統(tǒng)數(shù)年未曾更新，其中潛在漏洞將難以估量。一旦遭遇攻擊，損失可能極為嚴(yán)重。待到那時才后悔未及時更新，恐怕已經(jīng)來不及了。

./redis-cli -h IP info

權(quán)限管理

運行應(yīng)用程序時，應(yīng)避免使用管理員權(quán)限，尤其是像Linux系統(tǒng)的root權(quán)限。使用這種權(quán)限運行程序，就如同手持利器卻無任何防護(hù)。以密碼登錄為例，若管理員權(quán)限的密碼不夠強(qiáng)大，一旦遇到攻擊者掌握強(qiáng)大的密碼破解工具和高效的計算設(shè)備，密碼被破解便易如反掌。此外，限制root用戶的登錄，也能有效提升抵御黑客攻擊的難度。

>config set dir /root/.ssh/
OK
> config set dbfilename authorized_keys
OK
> set xxx "nnnssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDWuati70x2tsLBJ6FxDgK5NnRhUiIYMHEL9Nt0cwtOvlc8it7Ta9uSzQX6RV3hpF0Txg8/ARZaq75JyzN+1jsNh35mR49YWJloU8FbiI28IjdKAVvCOcAd/WWsPWrRIJPG38Z8Bu2xXBsNCmMwOtPd6VL4k9j6xmeA52PLe4wBJHZbGkPrbTxd7TTtvuWWmbx0dzvXBYCIalhVOJ7u5471tMBoCFGCYh5V8lzS0c4Hm3tf5SuQ8G3vWP8fLE6iUGen9rqBu+QNSxlYJSwz+O5T/ErFTFPZI3USQM7th1r6iY/Z8O7AzZlhXzPCHKcd/+8mzcEJ1JFU8m9gXgF6JwER ubuntu@ubuntu-xenialnnn"
OK
> save

企業(yè)內(nèi)部分管理員圖省事，常常以高權(quán)限執(zhí)行程序。這樣的做法雖一時便利，卻埋下了長遠(yuǎn)的隱患。若遭遇攻擊，又能責(zé)怪誰？只能怪自己安全意識太過薄弱。

程序安全

程序本身的安全防護(hù)同樣不容忽視。在設(shè)計系統(tǒng)之初，安全因素就得納入考量范疇。比如，要預(yù)防注入式攻擊。企業(yè)可以通過使用工具對數(shù)據(jù)庫進(jìn)行掃描，以檢測是否存在被入侵的風(fēng)險。這就像是要確保建筑穩(wěn)固，才能抵御外來的侵襲。此外，在使用HTTPS時，選用TLS1.2+版本協(xié)議，并搭配性能優(yōu)良的加密算法，這一點尤為關(guān)鍵。

不少小型企業(yè)自認(rèn)為不太可能遭受攻擊。他們在程序安全上只是敷衍了事。這種僥幸心理萬萬要不得，因為沒有任何人能保證自己的絕對安全。

云計算公司并非全能

云計算公司無法確保其服務(wù)器絕對安全，不會遭受攻擊。他們主要提供安全防護(hù)措施及建議，但實際的安全部署工作需由企業(yè)自行完成。企業(yè)不能僅僅依賴云計算公司，必須主動采取行動。

hydra -s 22 -v -l root -P pass.txt 49.111.95.153 ssh

有些企業(yè)以為一旦購買了云計算服務(wù)，安全問題便可以完全交由云服務(wù)提供商負(fù)責(zé)。這種看法未免過于天真。若自身不重視安全，又有誰能來拯救你？

PermitRootLogin yes 為 no
LoginGraceTime 30
PasswordAuthentication yes 為 no
MaxAuthTries 3 # 限制最大重試次數(shù)
Protocol 2

系統(tǒng)指標(biāo)監(jiān)控

除了前面提到的那些，監(jiān)控系統(tǒng)的各項指標(biāo)同樣至關(guān)重要。比如文件權(quán)限管理、系統(tǒng)使用效率、日志信息的收集等。這就像是給系統(tǒng)裝上了監(jiān)督的眼睛。一旦能夠提前察覺到異常，就能做到防患于未然。如果企業(yè)先前不重視監(jiān)控，等到系統(tǒng)遭受攻擊時才感到懊悔，那就已經(jīng)太遲了。

那么，你們的企業(yè)在云計算安全防護(hù)上做得如何？希望各位能踴躍發(fā)表意見，分享自己的經(jīng)驗。若這篇文章對您有所幫助，不妨點個贊，將它分享出去。