云計(jì)算風(fēng)起云涌，企業(yè)服務(wù)器遭受攻擊損失巨大，成了亟待解決的問(wèn)題。企業(yè)普遍重視上云，卻容易忽略安全防護(hù)的重要性。這可不是什么明智之舉。接下來(lái)，我將為大家詳細(xì)介紹上云之后如何進(jìn)行安全防護(hù)。

鎖定默認(rèn)端口

互聯(lián)網(wǎng)入侵通常始于掃描默認(rèn)端口，例如，若攻擊者圖謀侵入低于特定版本的軟件，比如redis3.0以下的版本，他們首先會(huì)掃描特定IP段。一旦發(fā)現(xiàn)某服務(wù)器開(kāi)啟了redis的默認(rèn)端口6379，就會(huì)進(jìn)行進(jìn)一步的攻擊。若企業(yè)對(duì)此類(lèi)風(fēng)險(xiǎn)一無(wú)所知，很可能迅速遭受攻擊。同時(shí)，企業(yè)應(yīng)謹(jǐn)慎使用0.0.0.0/0這類(lèi)端口放行規(guī)則。端口過(guò)多開(kāi)放，就如同家中大門(mén)敞開(kāi)，對(duì)小偷來(lái)說(shuō)極為危險(xiǎn)。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)無(wú)時(shí)無(wú)刻不在，企業(yè)對(duì)此必須給予高度重視。以為只要引入了云計(jì)算服務(wù)，一切問(wèn)題便能迎刃而解，這種想法實(shí)在是大錯(cuò)特錯(cuò)。對(duì)端口防護(hù)的忽視，極有可能引發(fā)嚴(yán)重的后果。

系統(tǒng)與軟件更新

masscan -p6379 49.111.0.0/16 --rate 10000 >> scan.txt

舊版操作系統(tǒng)和軟件往往存在不少漏洞。這就像一件破洞的衣服，很容易被冷風(fēng)鉆進(jìn)去。在云計(jì)算領(lǐng)域，若不定期更新，攻擊者就有了可乘之機(jī)。比如，黑客可能利用這些漏洞進(jìn)行密碼暴力破解。如果他們的密碼字典足夠強(qiáng)大，機(jī)器運(yùn)算能力足夠強(qiáng)，使用像hydra這樣的工具，破解也就變得輕而易舉。因此，企業(yè)使用云計(jì)算時(shí)，必須養(yǎng)成定期更新的好習(xí)慣。

忽視軟件更新極不安全。若企業(yè)系統(tǒng)數(shù)年未曾更新，其中潛在漏洞將難以估量。一旦遭遇攻擊，損失可能極為嚴(yán)重。待到那時(shí)才后悔未及時(shí)更新，恐怕已經(jīng)來(lái)不及了。

./redis-cli -h IP info

權(quán)限管理

運(yùn)行應(yīng)用程序時(shí)，應(yīng)避免使用管理員權(quán)限，尤其是像Linux系統(tǒng)的root權(quán)限。使用這種權(quán)限運(yùn)行程序，就如同手持利器卻無(wú)任何防護(hù)。以密碼登錄為例，若管理員權(quán)限的密碼不夠強(qiáng)大，一旦遇到攻擊者掌握強(qiáng)大的密碼破解工具和高效的計(jì)算設(shè)備，密碼被破解便易如反掌。此外，限制root用戶的登錄，也能有效提升抵御黑客攻擊的難度。

>config set dir /root/.ssh/
OK
> config set dbfilename authorized_keys
OK
> set xxx "nnnssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDWuati70x2tsLBJ6FxDgK5NnRhUiIYMHEL9Nt0cwtOvlc8it7Ta9uSzQX6RV3hpF0Txg8/ARZaq75JyzN+1jsNh35mR49YWJloU8FbiI28IjdKAVvCOcAd/WWsPWrRIJPG38Z8Bu2xXBsNCmMwOtPd6VL4k9j6xmeA52PLe4wBJHZbGkPrbTxd7TTtvuWWmbx0dzvXBYCIalhVOJ7u5471tMBoCFGCYh5V8lzS0c4Hm3tf5SuQ8G3vWP8fLE6iUGen9rqBu+QNSxlYJSwz+O5T/ErFTFPZI3USQM7th1r6iY/Z8O7AzZlhXzPCHKcd/+8mzcEJ1JFU8m9gXgF6JwER ubuntu@ubuntu-xenialnnn"
OK
> save

企業(yè)內(nèi)部分管理員圖省事，常常以高權(quán)限執(zhí)行程序。這樣的做法雖一時(shí)便利，卻埋下了長(zhǎng)遠(yuǎn)的隱患。若遭遇攻擊，又能責(zé)怪誰(shuí)？只能怪自己安全意識(shí)太過(guò)薄弱。

程序安全

程序本身的安全防護(hù)同樣不容忽視。在設(shè)計(jì)系統(tǒng)之初，安全因素就得納入考量范疇。比如，要預(yù)防注入式攻擊。企業(yè)可以通過(guò)使用工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行掃描，以檢測(cè)是否存在被入侵的風(fēng)險(xiǎn)。這就像是要確保建筑穩(wěn)固，才能抵御外來(lái)的侵襲。此外，在使用HTTPS時(shí)，選用TLS1.2+版本協(xié)議，并搭配性能優(yōu)良的加密算法，這一點(diǎn)尤為關(guān)鍵。

不少小型企業(yè)自認(rèn)為不太可能遭受攻擊。他們?cè)诔绦虬踩现皇欠笱芰耸隆＿@種僥幸心理萬(wàn)萬(wàn)要不得，因?yàn)闆](méi)有任何人能保證自己的絕對(duì)安全。

云計(jì)算公司并非全能

云計(jì)算公司無(wú)法確保其服務(wù)器絕對(duì)安全，不會(huì)遭受攻擊。他們主要提供安全防護(hù)措施及建議，但實(shí)際的安全部署工作需由企業(yè)自行完成。企業(yè)不能僅僅依賴云計(jì)算公司，必須主動(dòng)采取行動(dòng)。

hydra -s 22 -v -l root -P pass.txt 49.111.95.153 ssh

有些企業(yè)以為一旦購(gòu)買(mǎi)了云計(jì)算服務(wù)，安全問(wèn)題便可以完全交由云服務(wù)提供商負(fù)責(zé)。這種看法未免過(guò)于天真。若自身不重視安全，又有誰(shuí)能來(lái)拯救你？

PermitRootLogin yes 為 no
LoginGraceTime 30
PasswordAuthentication yes 為 no
MaxAuthTries 3 # 限制最大重試次數(shù)
Protocol 2

系統(tǒng)指標(biāo)監(jiān)控

除了前面提到的那些，監(jiān)控系統(tǒng)的各項(xiàng)指標(biāo)同樣至關(guān)重要。比如文件權(quán)限管理、系統(tǒng)使用效率、日志信息的收集等。這就像是給系統(tǒng)裝上了監(jiān)督的眼睛。一旦能夠提前察覺(jué)到異常，就能做到防患于未然。如果企業(yè)先前不重視監(jiān)控，等到系統(tǒng)遭受攻擊時(shí)才感到懊悔，那就已經(jīng)太遲了。

那么，你們的企業(yè)在云計(jì)算安全防護(hù)上做得如何？希望各位能踴躍發(fā)表意見(jiàn)，分享自己的經(jīng)驗(yàn)。若這篇文章對(duì)您有所幫助，不妨點(diǎn)個(gè)贊，將它分享出去。