1、打开所有的服务云盾

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvamVkaWFlbF9sdQ==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

2、通过防火墙策略限制对外扫描行为

请您依据您的server操作系统,下载相应的脚本执行,执行后您的防火墙策略会封禁对外发包的行为,确保您的主机不会再出现恶意发包的情况,为您进行兴许数据备份操作提供足够的时间。

Window2003的批处理文件下载地址:http://oss.aliyuncs.com/aliyunecs/windows2003_drop_port.bat

Window2008的批处理文件下载地址:http://oss.aliyuncs.com/aliyunecs/windows2008_drop_port.bat

Linux系统脚本:http://oss.aliyuncs.com/aliyunecs/linux_drop_port.sh

上述文件下载到机器内部直接运行就可以。

文件内容例如以下:

#!/bin/bash

#########################################

#Function:    linux drop port

#Usage:       bash linux_drop_port.sh

#Author:      Customer Service Department

#Company:     Alibaba Cloud Computing

#Version:     2.0

#########################################

check_os_release()

{

 while true

  do

   os_release=$(grep "Red Hat Enterprise Linux Server release"/etc/issue 2>/dev/null)

   os_release_2=$(grep "Red Hat Enterprise Linux Server release"/etc/redhat-release 2>/dev/null)

   if [ "$os_release" ] && [ "$os_release_2" ]

   then

     if echo "$os_release"|grep "release 5" >/dev/null2>&1

     then

       os_release=redhat5

       echo "$os_release"

     elif echo "$os_release"|grep "release 6">/dev/null 2>&1

     then

       os_release=redhat6

       echo "$os_release"

     else

       os_release=""

       echo "$os_release"

     fi

     break

   fi

   os_release=$(grep "Aliyun Linux release" /etc/issue2>/dev/null)

   os_release_2=$(grep "Aliyun Linux release" /etc/aliyun-release2>/dev/null)

   if [ "$os_release" ] && [ "$os_release_2" ]

   then

     if echo "$os_release"|grep "release 5" >/dev/null2>&1

     then

       os_release=aliyun5

       echo "$os_release"

     elif echo "$os_release"|grep "release 6">/dev/null 2>&1

     then

       os_release=aliyun6

       echo "$os_release"

     else

       os_release=""

       echo "$os_release"

     fi

     break

   fi

   os_release=$(grep "CentOS release" /etc/issue 2>/dev/null)

   os_release_2=$(grep "CentOS release" /etc/*release2>/dev/null)

   if [ "$os_release" ] && [ "$os_release_2" ]

   then

     if echo "$os_release"|grep "release 5" >/dev/null2>&1

     then

       os_release=centos5

        echo "$os_release"

     elif echo "$os_release"|grep "release 6">/dev/null 2>&1

     then

       os_release=centos6

       echo "$os_release"

     else

       os_release=""

       echo "$os_release"

     fi

     break

   fi

   os_release=$(grep -i "ubuntu" /etc/issue 2>/dev/null)

   os_release_2=$(grep -i "ubuntu" /etc/lsb-release2>/dev/null)

   if [ "$os_release" ] && [ "$os_release_2" ]

   then

     if echo "$os_release"|grep "Ubuntu 10" >/dev/null2>&1

     then

        os_release=ubuntu10

       echo "$os_release"

     elif echo "$os_release"|grep "Ubuntu 12.04">/dev/null 2>&1

     then

       os_release=ubuntu1204

       echo "$os_release"

     elif echo "$os_release"|grep "Ubuntu 12.10">/dev/null 2>&1

      then

       os_release=ubuntu1210

       echo "$os_release"

     else

       os_release=""

       echo "$os_release"

     fi

     break

   fi

   os_release=$(grep -i "debian" /etc/issue 2>/dev/null)

   os_release_2=$(grep -i "debian" /proc/version 2>/dev/null)

   if [ "$os_release" ] && [ "$os_release_2" ]

   then

     if echo "$os_release"|grep "Linux 6" >/dev/null2>&1

     then

       os_release=debian6

       echo "$os_release"

     else

        os_release=""

       echo "$os_release"

     fi

     break

   fi

   os_release=$(grep "openSUSE" /etc/issue 2>/dev/null)

   os_release_2=$(grep "openSUSE" /etc/*release 2>/dev/null)

   if [ "$os_release" ] && [ "$os_release_2" ]

   then

      if echo "$os_release"|grep"13.1" >/dev/null 2>&1

     then

       os_release=opensuse131

       echo "$os_release"

     else

       os_release=""

       echo "$os_release"

     fi

     break

   fi

   break

   done

}

exit_script()

{

 echo -e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"

  rm-f $LOCKfile

 exit 1

}

config_iptables()

{

 iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROP

 iptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROP

 iptables -I OUTPUT 3 -p udp -j DROP

 iptables -nvL

}

ubuntu_config_ufw()

{

  ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445

  ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186

  ufwdeny out proto udp to any

  ufwstatus

}

####################Start###################

#check lock file ,one time only let thescript run one time

LOCKfile=/tmp/.$(basename $0)

if [ -f "$LOCKfile" ]

then

 echo -e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"

 exit

else

 echo -e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"

 touch $LOCKfile

fi

#check user

if [ $(id -u) != "0" ]

then

 echo -e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"

  rm-f $LOCKfile

 exit 1

fi

echo -e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"

os_release=$(check_os_release)

if [ "X$os_release" =="X" ]

then

 echo -e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"

  rm-f $LOCKfile

 exit 0

else

 echo -e "\033[40;32mThis OS is $os_release.\n\033[40;37m"

fi

echo -e "\033[40;32mStep 3.Begen toconfig firewall.\n\033[40;37m"

case "$os_release" in

redhat5|centos5|redhat6|centos6|aliyun5|aliyun6)

 service iptables start

 config_iptables

  ;;

debian6)

 config_iptables

  ;;

ubuntu10|ubuntu1204|ubuntu1210)

  ufwenable <<EOF

y

EOF

 ubuntu_config_ufw

  ;;

opensuse131)

 config_iptables

  ;;

esac

echo -e "\033[40;32mConfig firewallsuccess,this script now exit!\n\033[40;37m"

rm -f $LOCKfile

3、设置iptables,限制訪问

/sbin/iptables -P INPUT ACCEPT

/sbin/iptables -F

/sbin/iptables -X

/sbin/iptables -Z

/sbin/iptables -A INPUT -i lo -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

/sbin/iptables -P INPUT DROP

 service iptables save

以上脚本,在每次重装完系统后运行一次就可以,其配置会保存至/etc/sysconfig/iptables

此步骤參考http://www.netingcn.com/aliyun-iptables.html

因为作为webserver来使用,所以对外要开放 80 port,另外肯定要通过ssh进行server管理,22 port也要对外开放。当然最好是把ssh服务的默认port改掉,在公网上会有非常多人试图破解password的。假设改动port。记得要把该port对外开发,否则连不上就悲剧了。

以下提供配置规则的具体说明:

第一步:清空全部规则

当Chain INPUT (policy DROP)时运行/sbin/iptables -F后,你将和server断开连接

全部在清空全部规则前把policy DROP该为INPUT,防止悲剧发生,小心小心再小心

/sbin/iptables -P INPUT ACCEPT

清空全部规则

/sbin/iptables -F

/sbin/iptables -X

计数器置0

/sbin/iptables -Z

第二步:设置规则

同意来自于lo接口的数据包,假设没有此规则,你将不能通过127.0.0.1訪问本地服务,比如ping 127.0.0.1

/sbin/iptables -A INPUT -i lo -j ACCEPT 

开放TCP协议22端口,以便能ssh,假设你是在有固定ip的场所。能够使用 -s 来限定client的ip

/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

开放TCP协议80端口供web服务

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

10.241.121.15是另外一台server的内网ip,因为之间有通信,接受全部来自10.241.121.15的TCP请求

/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT

接受ping

/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

这条规则參看:http://www.netingcn.com/iptables-localhost-not-access-internet.html

/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

屏蔽上述规则以为的全部请求,必不可少。否则防火墙没有不论什么过滤的功能

/sbin/iptables -P INPUT DROP

能够使用 iptables -L -n 查看规则是否生效

至此防火墙就算配置好,可是这是暂时的,当重新启动iptables或重新启动机器,上述配置就会被清空。要想永久生效,还须要例如以下操作:

/etc/init.d/iptables save


service iptables save

运行上述命令能够在文件 /etc/sysconfig/iptables 中看到配置

下面提供一个干净的配置脚本:

/sbin/iptables -P INPUT ACCEPT

/sbin/iptables -F

/sbin/iptables -X

/sbin/iptables -Z

/sbin/iptables -A INPUT -i lo -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT

/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

/sbin/iptables -P INPUT DROP

最后运行 。先确保ssh连接没有问题,防止规则错误。导致无法连上server。由于没有save。重新启动server规则都失效,否则就仅仅有去机房才干改动规则了。也能够參考:ubuntu iptables
配置脚本来写一个脚本。

4、经常使用网络监控命令

(1) netstat -tunl:查看全部正在监听的port

[root@AY1407041017110375bbZ ~]# netstat -tunl

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address               Foreign Address             State

tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN

udp        0      0 ip:123           0.0.0.0:*

udp        0      0 ip:123           0.0.0.0:*

udp        0      0 127.0.0.1:123               0.0.0.0:*

udp        0      0 0.0.0.0:123                 0.0.0.0:*

当中123port用于NTP服务。

(2)netstat  -tunp:查看全部已连接的网络连接状态,并显示其PID及程序名称。

[root@AY1407041017110375bbZ ~]# netstat -tunp

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   

tcp        0     96 ip:22            221.176.33.126:52699        ESTABLISHED 926/sshd            

tcp        0      0 ip:34385         42.156.166.25:80            ESTABLISHED 1003/aegis_cli  

依据上述结果,能够依据须要kill掉对应进程。

如:

kill -9 1003

(3)netstat -tunlp

(4)netstat经常使用选项说明:

-t: tcp

-u : udp

-l, --listening

       Show only listening sockets.  (These are omitted by default.)

-p, --program

       Show the PID and name of the program to which each socket belongs.

--numeric , -n

Show numerical addresses instead of trying to determine symbolic host, port or user names.

5、改动ssh的监听port

(1)改动 /etc/ssh/sshd_config

原有的port 22

改为port 44

(2)重新启动服务

/etc/init.d/sshd restart

(3)查看情况

 netstat -tunl

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address               Foreign Address             State

tcp        0      0 0.0.0.0:44               0.0.0.0:*                   LISTEN

udp        0      0 ip:123           0.0.0.0:*

udp        0      0 ip:123           0.0.0.0:*

udp        0      0 127.0.0.1:123               0.0.0.0:*

udp        0      0 0.0.0.0:123                 0.0.0.0:*

版权声明:本文博客原创文章,博客,未经同意,不得转载。

阿里云server安全设定的更多相关文章

  1. 基于阿里云server搭建SVNserver

    基于阿里云server搭建SVNserver 本系列文章由ex_net(张建波)编写,转载请注明出处. http://blog.csdn.net/ex_net/article/details/8577 ...

  2. 阿里云server(ECS)优惠券领取

    CoderMan的博客也是放置在阿里云的ECS上.速度绝对是刚刚的,大家打开的速度肯定不会慢. 有些同志们至今可能还在用虚拟主机吧,其实阿里云server真心不贵,有俩种计费方式:各自是按月计费和按流 ...

  3. 阿里云server该数据光盘安装操作

    猛击这里:阿里云server该数据光盘安装操作

  4. 玩转阿里云server——安装WebserverTomcat7

    1. 以root用户身份登录阿里云server 2. 使用apt-get install安装Tomcat7 sudo apt-get install tomcat7 3.安装后.Tomcat在启动时报 ...

  5. 阿里云server部署架构

    近期要上马一个项目,客户要求所有部署到阿里云的server,做了一个阿里云的部署方案. 上图: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvc21hbGx ...

  6. 阿里云 Server (Ubuntu 12.04) 配置 FTP

    来自 http://blog.csdn.net/zgrjkflmkyc/article/details/45510345 这个是阿里云的官方用户手册  http://bbs.aliyun.com/re ...

  7. 阿里云server改动MySQL初始password---Linux学习笔记

    主要方法就是改动 MySQL依照文件以下的my.cnf文件 首先是找到my.cnf文件. # find / -name "my.cnf" # cd /etc 接下来最好是先备份my ...

  8. 阿里云部署Java web项目初体验

    林炳文Evankaka原创作品. 转载请注明出处http://blog.csdn.net/evankaka 摘要:本文主要讲了怎样在阿里云上安装JDK.Tomcat以及其配置过程. 最后以一个实例来演 ...

  9. 阿里云Ubuntu环境搭建Docker服务

    经过昨天和今天的不断奋战,在阿里云里面搭建Docker并不easy. 所以我认为有必要记录下来,以供后人学习. 以及我自己的回想. 首先,查看我们的系统版本号: cat /etc/issue 的到的输 ...

随机推荐

  1. Light OJ 1406 Assassin`s Creed 减少国家DP+支撑点甚至通缩+最小路径覆盖

    标题来源:problem=1406">Light OJ 1406 Assassin`s Creed 意甲冠军:向图 派出最少的人经过全部的城市 而且每一个人不能走别人走过的地方 思路: ...

  2. 表的顺序结构---重写Arraylist类

    重写ArrayList类,为防止冲突,重写为MyArrayList,未继承Iterable类. public class MyArrayList<AnyType>{ int N=10; A ...

  3. 创建Oracle的用户 create user scott identified by tiger;

    在命令行里sqlplus 以system身份登录,password是自己设的system C:\Users\Administrator>sqlplus SQL*Plus: Release 10. ...

  4. chrome使用技巧(转)good

    阅读目录 写在前面 快速切换文件 在源代码中搜索 在源代码中快速跳转到指定的行 使用多个插入符进行选择 设备模式 设备传感仿真 格式化凌乱的js源码 颜色选择器 改变颜色格式 强制改变元素状态(方便查 ...

  5. 未能加载文件或程序集“Common”或它的某一个依赖项。试图加载格式不正确的程序

    原因:操作系统是64位的,但发布的程序引用了一些32位的ddl,所以出现了兼容性的问题解决方案一:如果是64位机器,IIS——应用程序池——高级设置——启用32位应用程序 :true.解决方案二:修改 ...

  6. C# WinForm dataGridView 技巧小结

    1.不显示第一个空白列RowHeaderVisible属性设置为false 2.点击cell选取整行SelectinModel属性FullRowSelectRowSelectinModel属性设置或用 ...

  7. ASP.NET自定义控件组件开发 第一章 待续

    原文:ASP.NET自定义控件组件开发 第一章 待续 第一章:从一个简单的控件谈起 系列文章链接: ASP.NET自定义控件组件开发 第一章 待续 ASP.NET自定义控件组件开发 第一章 第二篇 接 ...

  8. 求Sn=a+aa+aaa+…+aa…aaa(有n个a)…

    时间限制: 1 Sec  内存限制: 128 MB 提交: 352  解决: 174 [提交][状态][讨论版] 题目描述 求Sn=a+aa+aaa+-+aa-aaa(有n个a)之值,其中a是一个数字 ...

  9. Snail—ORACLE基础之事务学习(五)

    ---------------事务---当运行到commit时 事务才算是完毕,不然 会运行rollback操作. declare v_money acount.money%type:=1223; e ...

  10. HDU ACM 1088 Write a simple HTML Browser

    意甲冠军:出现<br>总结,出现<hr>出口'-',今天的字加上各行的假设是长于80然后包,每个字之前,留下一个空白格,为了输出新行结束. #include<iostre ...