С ростом популярности облачных вычислений все больше и больше предприятий и частных лиц предпочитают развертывать приложения на облачных серверах. Тем не менее, безопасность облачных серверов также вызывает растущую обеспокоенность, особенно перед лицом все более изощренных кибератак. Для того чтобы обеспечить безопасность облачных серверов, важно принять соответствующие меры по усилению защиты. В этом разделе описывается, как использовать ключ SSH для входа в систему и настройки брандмауэра для повышения безопасности CVM и защиты данных и приложений от внешних угроз.

1. Вход по ключу SSH: повышает безопасность удаленного доступа

SSH (Secure Shell) — наиболее часто используемый протокол удаленного входа в систему для облачных серверов, который может обеспечить безопасность передачи данных с помощью шифрования. Однако традиционные методы входа в систему с помощью пароля могут быть взломаны методом перебора. По этой причине вход в систему с помощью ключа SSH является более безопасным методом аутентификации.

1. Что такое вход по ключу SSH?

Вход в систему по SSH-ключу основан на механизме криптографии с открытым ключом, и пользователь генерирует пару ключей (открытый ключ и закрытый ключ). Публичный ключ размещается на сервере, в то время как закрытый ключ хранится локально на устройстве пользователя. Таким образом, только пользователь с соответствующим закрытым ключом может успешно войти на сервер без необходимости ввода пароля.

2. Зачем использовать ключ SSH для входа в систему?

• Предотвращение перебора: пароли часто могут быть взломаны методом перебора, а вход в систему с помощью ключей SSH значительно повышает безопасность.

• Повышенная безопасность аутентификации: пары ключей намного безопаснее традиционных паролей, и ключи не могут быть легко украдены.

• Поддержка сценариев автоматизации: Вход по ключу можно легко использовать в сценариях автоматизации и процессах CI/CD для сокращения вмешательства человека.

3. Как настроить вход по ключу SSH?

1. Сгенерировать пару ключей SSH: Сгенерируйте пару ключей на локальном устройстве с помощью следующей команды:

   ssh-keygen -t rsa -b 2048

   При этом генерируется файл открытого и закрытого ключа, обычно хранящийся в каталоге ~/.ssh/.

2. Загрузите открытый ключ на сервер: Используйте команду ssh-copy-id для загрузки открытого ключа в ECS:

   ssh-copy-id username@server_ip

3. Disable Password Login: Войдите на сервер, отредактируйте файл /etc/ssh/sshd_config и отключите аутентификацию по паролю:

   ПарольАутентификация нет

   Затем перезапустите службу SSH:

   sudo systemctl перезагрузить sshd

4. Проверьте вход в систему с помощью ключа SSH: Попробуйте войти на сервер с помощью вашего приватного ключа, чтобы убедиться, что вы можете успешно войти в систему:

   ssh -i /путь/к/private_key username@server_ip

2. Настройка межсетевого экрана: контроль доступа к серверу и отклонение вредоносного трафика

Межсетевой экран является важным инструментом для защиты облачных серверов от внешних атак, и он может предотвратить несанкционированный доступ, контролируя сетевой трафик. Правильная конфигурация межсетевого экрана может эффективно снизить риски безопасности и предотвратить проникновение злоумышленников в систему.

1. Почему важно настроить межсетевой экран?

• Ограничение внешнего доступа: Межсетевые экраны могут эффективно предотвращать проникновение ненужного сетевого трафика и сокращать поверхность атаки за счет ограничения портов внешнего доступа.

• Повышение стабильности системы: Отфильтровывая ненужные сетевые запросы, брандмауэр может повысить стабильность сервера и снизить ненужную нагрузку.

• Предотвращение DDoS-атак: межсетевые экраны могут помочь выявить и заблокировать распределенные атаки типа «отказ в обслуживании» (DDoS), предотвращая перегрузку серверов вредоносным трафиком.

2. Как настроить межсетевой экран?

Ниже приведены общие UFW (Uncomplicated Firewalls) и iptables в качестве примеров для описания настройки брандмауэра.

1.0 Настройка межсетевого экрана с помощью UFW

1. Установите UFW (если он не установлен):

   sudo apt-get install ufw

2. Включите UFW и установите правило по умолчанию: Установите правило по умолчанию, чтобы запретить весь входящий трафик и разрешить весь исходящий трафик:

   sudo ufw default запретить входящий sudo ufw default разрешить исходящий

3. Разрешить трафик SSH: Если вы вошли в систему с ключом SSH, убедитесь, что вы разрешили трафик через порт SSH (порт 22 по умолчанию):

   Sudo UFW Allow 22/TCP

4. Включить брандмауэр: Включите брандмауэр и сделайте его эффективным:

   sudo ufw enable

5. Просмотр состояния брандмауэра: Просмотр состояния и правил вашего брандмауэра:

   Статус SUDO UFW

2.0 Настройка межсетевого экрана с помощью iptables

iptables — это мощный инструмент межсетевого экрана в Linux, который обеспечивает детальный контроль над сетевым трафиком с помощью пользовательских правил.

1. Разрешенный трафик SSH: Разрешенный трафик по SSH (порт 22):

   sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

2. Отклонить весь остальной входящий трафик: Запретить весь входящий трафик по умолчанию:

   sudo iptables -A INPUT -j DROP

3. Save iptables rule: Используйте следующую команду для сохранения правила iptables:

   sudo iptables-сохранить > /etc/iptables/rules.v4

3. Резюме: Обеспечение многоуровневой защиты ECS

Реализуя вход по ключу SSH и настройки брандмауэра, вы можете значительно повысить безопасность вашей ECS. Вход по ключу SSH обеспечивает более безопасный метод аутентификации для предотвращения атак методом перебора. Межсетевые экраны, с другой стороны, предотвращают проникновение злоумышленников в систему, ограничивая сетевой трафик и порты доступа. В сочетании с другими мерами безопасности, такими как регулярное обновление системы, использование надежных паролей и включение многофакторной аутентификации, вы можете создать надежную линию защиты для своего облачного сервера, чтобы обеспечить постоянную безопасность ваших данных и приложений.

Не следует пренебрегать защитой ECS, а также усиливать усиление безопасности во время использования, чтобы избежать потенциальных рисков безопасности.

Источник: Mengfei Cloud Host