站点安全的重要性

今年8月23日宝塔爆出重大漏洞,phpmyadmin可不鉴权直接访问,这意味着任何人都可以直接访问phpmyadmin管理数据库,导致那几天众多站点被删库,更有恶者专门做了个删库脚本去大批量删除一些安全做的不是那么好的站点。

往年因为站点安全做的不是很好的站点被一些黑客利用安全漏洞入侵站点的例子比比皆是,甚至一些黑客在黑了站点以后直接联系该站点站长实施勒索,有些站长根本就没见过这架势,立马就想破财消灾,缴纳“保护费”给黑客,如果说这黑客再坏一点,钱到账却也立马干掉缴纳了“保护费”的站点,那么不就成了即破财又没消灾了,这非常的被动,完全看黑客心情。

个人站点被入侵、删库什么的可能影响并不是很大,但如果说运营了几年的站点突然一下子给干没了,站点站长会是如何心情?被删库心情就更加复杂了,毕竟数据无价,丢不起!其实发生这些事情归根结底还是因为安全没有做到位,至少黑客没那么“费力”,所以我们要做到尽量让黑客“费力”。

基础篇

该篇强烈建议小伙伴们都设置一下

面板设置

1、修改面板端口

修改后,你将通过你设置的端口登录宝塔,比如:我设置端口为 20808,那么访问宝塔则为
{{IP & 域名}}:20808/{{安全入口}}

注意:如果你的服务器有安全组,请先设置安全组开放你想设置的面板端口,否则这将导致你登录不上宝塔。

修改面板端口

2、修改安全入口

修改后,你将通过你设置的安全入口登录宝塔,比如:我设置的安全入口为 main,那么访问宝塔则为
{{IP & 域名}}:{{面板端口}}/main

修改安全入口

3、修改面板用户、密码

修改后,你将通过新的账号、密码登录宝塔,请尽量避免使用弱密码,如果可以的话,可以选择定期修改账号密码

修改面板用户、密码

计划任务

1、定期备份网站

宝塔备份网站

2、定期备份数据库

宝塔备份数据库

安全设置

不用SSH时关闭SSH,修改SSH端口,禁ping
如果比较有时间的话,可以选择定期修改 SSH 密码

注意:如果你的服务器有安全组,请先设置安全组开放你想修改成的SSH端口,否则这将导致你使用不了SSH。

宝塔安全设置

监控设置

开启监控,这样以后你就可以查看近期服务器使用情况了

宝塔监控设置

phpmyadmin设置

1、修改phpmyadmin访问端口

使用默认端口太危险了,修改端口非常有必要。

宝塔修改phpmyadmin端口

2、关闭公共访问权限

宝塔8月23日曝出的漏洞主要因为phpmyadmin没有鉴权,那么避免这样的情况再次发生,没有必要的情况下关闭公共访问权限。

phpmyadmin设置

进阶篇

该篇建议对安全有较高需求的小伙伴设置,同时也还是建议小伙伴们都设置。

面板设置

1、开启BasicAuth认证

BasicAuth认证能有效防止面板被扫描工具扫描

宝塔开启BasicAuth认证

输入面板地址弹出的这个弹窗就是 BasicAuth 认证

BasicAuth认证

2、为宝塔面板绑定域名

面板域名随便想一个合适的即可,不要去解析域名,不要去解析域名,不要去解析域名,重要的事情说三遍,因为是直接修改你现在电脑上的 hosts 文件,这样以达到不解析域名也可以将该域名设置为面板域名,解析域名反而更容易让别人知道你面板地址!

宝塔绑定域名

修改你自己电脑上的 hosts 文件,不是服务器,不是服务器,不是服务器,而是你平常用的那台台式或笔记本(文章演示只有win系统的修改方式,其他系统请自行查询)

修改hosts文件

设置完以后可以通过域名访问,比如:我设置宝塔面板域名为 b.t.inuoy.cn,那么我访问面板则为b.t.inuoy.cn:{{面板端口}}/{{安全入口}}

安装WEB防火墙

如果你使用的是nginx,那么可以安装nginx免费防火墙,免费防火墙支持CC防御、GET-URL过滤、GET-参数过滤、POST过滤、User-Agent过滤(可以用来过滤恶意使用ab等测压工具的请求)、禁止海外访问(如不考虑开放海外访问,则使用该功能禁止海外访问,这样可以有效的防止一些海外来源的DDOS)、常见扫描器、IP白名单、IP黑名单、URL白名单。免费防火墙已经够个人站长使用了,当然如有更高的安全需求也可以使用收费的nginx防火墙。

如果你使用的是apache,宝塔软件商店暂时没有提供免费的Apache防火墙,但你也可以安装Apache收费防火墙或者其他来源的防火墙。

站点隐藏服务器真实IP

服务器隐藏真实IP在我另一篇 CDN加速(腾讯云) 中有讲到,这里不再重述。

腾讯云CDN支持UA黑白名单,这可以用来过滤恶意使用ab等测压工具的请求,同时支持IP访问限频,可防止部分CC(需要按需设置),还支持下行限速配置等,这三个建议都设置。更多功能请自行前往腾讯云CDN了解。

注意:因为腾讯云CDN流量计费模式是先用后付日结,这意味着如果你被个别人恶意刷CDN流量可能会导致你一觉起来破产,所以请务必一定要设置宽带闸值,个人站点闸值为 5-10mb 即可(千万看清楚,默认是10GB!GB!GB!个人站长们一定要设置单位为MB),不必太高,也不必太低。类似ab测压工具恶意刷流量可在腾讯云CDN-》访问控制-》UA黑名单中设置过滤,这样就不会被ab工具刷,但宽带闸值依旧一定要设置!!!

服务器快照

服务器快照可以有效帮助我们恢复数据,同时也是一种保障,比如我们假设黑客拿到服务器面板权限,那么只要他想,他就可以删除我们的站点,包括我们在站点上的备份,这种情况就非常糟糕了,但如果我们做了快照,黑客前脚刚删除,我们紧跟着回退到之前干净的版本并修改面板密码,这样子黑客就没有面板权限了,而我们则可以有时间去找到并修复问题和恢复部分快照记录状态后的一些没记录进去的数据。

做好快照、备份很重要,我本人现在每天至少备份一份,建议小伙伴们至少每周一次备份,毕竟数据无价。

快照需要到你租云服务器的云厂商创建,各个厂商设置方法可能有所不同,请自行查阅资料。

还未完结,明天继续更