Azure VM 防止被入侵

伴随着开源Linux系统的逐渐盛行，在机器上线之前配置好安全策略至关重要，分享几点有关Azure Linux VM机器的安全建议如下：

1.禁止root账号登录虚拟机，并增加密码的复杂度（大小写字母，数字，特殊字符的组合）

2.修改虚拟机对外的ssh端口为高位端口，不要使用默认的22端口

3.可以在虚拟机内部配置系统级别的防火墙策略

4.如果环境允许，针对ssh服务设置nsg访问控制，指定某个IP或某些IP地址段访问虚拟机

5.如果环境允许，禁止用户通过密码登录，改用ssh key方式来登录访问

6.如果环境允许，可以在Azure中配置一台堡垒机作为跳板，堡垒机通过内网IP到连接到关键业务的生产VM（生产VM不需要开放ssh公共端口，Internet无法连接）

如果确定虚拟机已经被恶意攻击了，建议不要在继续使用这台虚拟机，新建虚拟机恢复服务后，从平台层面建议从以下方面加固安全性：

1.在系统架构设计上，将不同功能放置在不同的虚拟机上。按功能对虚拟机划分安全组，设置访问控制规则。对不需要外网访问的端口或虚拟机，如后端数据库，不开放外网访问端口。或者对所有内部虚拟机的访问，都通过跳板机发方式进行，将重要功能虚拟机被直接入侵的几率降低为零。

2.在创建管理系统时，严格设置和管理用户密码，如复杂度，有效期，离职人员账号及时删除，admin权限赋予等。

3.在系统层面，通过开启防火墙，设置服务允许拒绝规则等，防止非法的访问。同时，根据最少服务原则，在安装配置系统时，安装应用需要的最少的包，开启最少的服务，达到让黑客无法通过不在控制范围内的端口入侵。并定期更新系统，打补丁，减少安全隐患。

4.在应用层面，相关的应用管理人员，如数据库管理员，应该具有强烈的安全意识，在配置应用时，开启相关的安全规则。安装软件时，应该从官方渠道下载，避免受到带毒安装包的影响。

5.在新建虚拟机的时候建议安装杀毒软件以增强对虚拟机的保护。

6.定期备份数据或虚拟机，防止数据一旦损坏或丢失，造成数据不可用。这里附上Azure备份的相关连接，请参考： https://www.azure.cn/documentation/articles/backup-azure-manage-windows-server-classic/