本来对公司的云服务器进行了部分的安全配置,然后以后就没管过它了,最近没什么事,查看服务器时发现服务器正在经受着不简单的暴力破解,这对我敲响了警钟,立即对服务器的安全进行了加固,主要从以下几个方面:(此处没有写具体需要怎么操作,具体操作大家去百度下即可)
一. 修改服务器账号和密码
首先观察了服务器的登录记录,控制面板->查看事件日志->事件查看器(本地)->Windows日志->安全,
打开看见的都是事件ID码,大家可以搜索4624(这个是登录成功)和4625(这个是登录失败),然后大家可以看下有没有很多次登录失败,特别是在半夜的时候,我当时就是查看日志发现,半夜每个两秒钟请求一次远程登录。比较幸运的是我当时设置的登录密码连我自己都记不住,所以没有被暴力破解了。
大家可以在重新设置用户账号和密码,把原来的用户Administrator这个账号给更改了,更改成自己新的账号名,同时修改用户密码,密码保持在12位以上。
删除无用的账户,或者给别的账户进行密码升级,尽量精简密码,同时对别的子账户的权限进行控制。
定期更新用户密码,这样可以有效防止别人的暴力破解。
二. 修改远程登录的端口号
不使用默认端口3389,使用自己从新设置的新的端口号,具体设置信息大家可以百度下,很容易的。
但是在此提醒大家,如果是以前的服务器,可以还需要同步修改SQL服务器的远程登录账号和密码,我就是因为没哟修改数据库的远程登录的账号和密码,导致平台瘫痪。
三. 远程登录使用证书验证来登录、或者固定IP登录
我是设置了证书登录,本来要设置固定IP登录的,但是由于公司外网IP不固定的问题,此方法不能实现,故此换成证书验证登录,基本没哟正式你暴力破解无法实现了。
到此基本服务器的登录问题告一段落,下来接着整理服务器的数据库安全问题
四.数据库自动备份
我们用的是SQLserver数据库,可以通过数据库维护实现数据库自动备份,设置时间是2个小时一备份,这个主要看你们的数据量,如果数据量比较大了,建议可以把备份做的稍微不这么频繁,同时需要把备份时间给控制好,我们这边是系统负载大的时候看好给隔过去了,备份时间基本都在系统空闲时间。
此外特别需要注意就是数据的自动清除功能,我还设置了一个任务:数据库自动清除任务,会自动清除上一天的数据库备份,曾经我见过一个硬盘特别大的独立式服务器,硬盘里面慢慢的都是系统备份,实际上我们只需要最后一次系统备份即可,没必要让系统备份占了将近一个T的数据量。
五.数据的暴力破解问题
通过观察数据库日志,发现数据库一直被别人给暴力破解,我用了好几种解决方法
- 立即修改数据库密码,把原有的数据密码从13位提高到了20位(英文+数字+特殊字符)的混合密码,提高了破解难度。
- 修改数据库端口号:1433的默认端口不使用了,使用了7位的端口号。
- 由于SQLserver的问题,暂时还不能屏蔽sa账号(主要是我们代码的问题,牵扯到发布版本),所以没有屏蔽,我新生成了一个专门用户后台访问的账号和密码。以后准备慢慢的丢掉sa账号
- 数据端口访问固定ip,由于公司ip不能固定,所以只能使用测试服务器,通过内网固定ip来进行数据访问,关闭外网访问,这个是在防火墙那里设置的。
六.数据库和Web服务分开放置
原来没有想分开放置,但是由于配置了上面的安全措施后,公司担心服务器被破解后,代码和数据同时丢失损失比较大,建议分化风险,所以把Web服务和数据分开放置,把数据给放置到测试数据库上面。这样也能保护数据库的安全性,不仅避免了别人的攻击,也避免了宕机情况下服务器的重新配置问题。
七.主从数据库
在数据量稍微大点的情况下,使用分布式数据库达不到,使用一个数据库,写入数据量达不到要求的情况下,我们开始使用主从数据,主要是我们数据量比较大,一个硬件设备每秒要传输5条左右的数据,高峰期大概百分之九十左右的设备同时传输,写入和读取量比较大,导致读取速度太慢。使用主从数据库后,服务器上的数据主要从事写入方面,测试服务器上的从数据库主要从事读取方面,这样大大加大了读取和写入的速度。
主从数据库,主要是根据同一个二进制操作表,进行的同步,把同步当成多次插入当成批次任务来处理,可能会有几秒钟的延迟,所以如果要是需要准确的数据,还是需要从主数据库里面进行获取。
八.数据账户
除了sa账户,别的都是一个数据库一个账户,这样就算被破解了,那它也只能看见一个数据库的内容,不会对别的数据库造成影响。
大致我对服务器本身的安全配置就这些了,还有就是对服务器的外部配置了,那个等回来有空的时候我们在详细说明。
678
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
