1、開啟云盾所有服務(wù)

?

2、通過防火墻策略限制對外掃描行為

?

請您根據(jù)您的服務(wù)器操作系統(tǒng)，下載對應(yīng)的腳本運(yùn)行，運(yùn)行后您的防火墻策略會封禁對外發(fā)包的行為，確保您的主機(jī)不會再出現(xiàn)惡意發(fā)包的情況，為您進(jìn)行后續(xù)數(shù)據(jù)備份操作提供足夠的時間。

Window2003的批處理文件下載地址：http://oss.aliyuncs.com/aliyunecs/windows2003_drop_port.bat

?

Window2008的批處理文件下載地址：http://oss.aliyuncs.com/aliyunecs/windows2008_drop_port.bat

Linux系統(tǒng)腳本：http://oss.aliyuncs.com/aliyunecs/linux_drop_port.sh

?

上述文件下載到機(jī)器內(nèi)部直接執(zhí)行即可。

?

文件內(nèi)容如下：

#!/bin/bash ######################################### #Function: linux drop port #Usage: bash linux_drop_port.sh #Author: Customer Service Department #Company: Alibaba Cloud Computing #Version: 2.0 #########################################check_os_release() {while truedoos_release=$(grep "Red Hat Enterprise Linux Server release"/etc/issue 2>/dev/null)os_release_2=$(grep "Red Hat Enterprise Linux Server release"/etc/redhat-release 2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "release 5" >/dev/null2>&1thenos_release=redhat5echo "$os_release"elif echo "$os_release"|grep "release 6">/dev/null 2>&1thenos_release=redhat6echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep "Aliyun Linux release" /etc/issue2>/dev/null)os_release_2=$(grep "Aliyun Linux release" /etc/aliyun-release2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "release 5" >/dev/null2>&1thenos_release=aliyun5echo "$os_release"elif echo "$os_release"|grep "release 6">/dev/null 2>&1thenos_release=aliyun6echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep "CentOS release" /etc/issue 2>/dev/null)os_release_2=$(grep "CentOS release" /etc/*release2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "release 5" >/dev/null2>&1thenos_release=centos5echo "$os_release"elif echo "$os_release"|grep "release 6">/dev/null 2>&1thenos_release=centos6echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep -i "ubuntu" /etc/issue 2>/dev/null)os_release_2=$(grep -i "ubuntu" /etc/lsb-release2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "Ubuntu 10" >/dev/null2>&1thenos_release=ubuntu10echo "$os_release"elif echo "$os_release"|grep "Ubuntu 12.04">/dev/null 2>&1thenos_release=ubuntu1204echo "$os_release"elif echo "$os_release"|grep "Ubuntu 12.10">/dev/null 2>&1thenos_release=ubuntu1210echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep -i "debian" /etc/issue 2>/dev/null)os_release_2=$(grep -i "debian" /proc/version 2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep "Linux 6" >/dev/null2>&1thenos_release=debian6echo "$os_release"elseos_release=""echo "$os_release"fibreakfios_release=$(grep "openSUSE" /etc/issue 2>/dev/null)os_release_2=$(grep "openSUSE" /etc/*release 2>/dev/null)if [ "$os_release" ] && [ "$os_release_2" ]thenif echo "$os_release"|grep"13.1" >/dev/null 2>&1thenos_release=opensuse131echo "$os_release"elseos_release=""echo "$os_release"fibreakfibreakdone }exit_script() {echo -e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"rm-f $LOCKfileexit 1 }config_iptables() {iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROPiptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROPiptables -I OUTPUT 3 -p udp -j DROPiptables -nvL }ubuntu_config_ufw() {ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186ufwdeny out proto udp to anyufwstatus }####################Start################### #check lock file ,one time only let thescript run one time LOCKfile=/tmp/.$(basename $0) if [ -f "$LOCKfile" ] thenecho -e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"exit elseecho -e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"touch $LOCKfile fi#check user if [ $(id -u) != "0" ] thenecho -e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"rm-f $LOCKfileexit 1 fiecho -e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m" os_release=$(check_os_release) if [ "X$os_release" =="X" ] thenecho -e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"rm-f $LOCKfileexit 0 elseecho -e "\033[40;32mThis OS is $os_release.\n\033[40;37m" fiecho -e "\033[40;32mStep 3.Begen toconfig firewall.\n\033[40;37m" case "$os_release" in redhat5|centos5|redhat6|centos6|aliyun5|aliyun6)service iptables startconfig_iptables;; debian6)config_iptables;; ubuntu10|ubuntu1204|ubuntu1210)ufwenable <<EOF y EOFubuntu_config_ufw;; opensuse131)config_iptables;; esacecho -e "\033[40;32mConfig firewallsuccess,this script now exit!\n\033[40;37m" rm -f $LOCKfile

3、設(shè)置iptables，限制訪問

/sbin/iptables -P INPUT ACCEPT /sbin/iptables -F /sbin/iptables -X /sbin/iptables -Z/sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 8080 -j ACCEPT /sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT /sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -P INPUT DROPservice iptables save 以上腳本，在每次重裝完系統(tǒng)后執(zhí)行一次即可，其配置會保存至/etc/sysconfig/iptables

此步驟參考http://www.netingcn.com/aliyun-iptables.html

由于作為web服務(wù)器來使用，所以對外要開放 80 端口，另外肯定要通過ssh進(jìn)行服務(wù)器管理，22 端口也要對外開放，當(dāng)然最好是把ssh服務(wù)的默認(rèn)端口改掉，在公網(wǎng)上會有很多人試圖破解密碼的，如果修改端口，記得要把該端口對外開發(fā)，否則連不上就悲劇了。下面提供配置規(guī)則的詳細(xì)說明：

第一步：清空所有規(guī)則當(dāng)Chain INPUT (policy DROP)時執(zhí)行/sbin/iptables -F后，你將和服務(wù)器斷開連接 所有在清空所有規(guī)則前把policy DROP該為INPUT，防止悲劇發(fā)生，小心小心再小心 /sbin/iptables -P INPUT ACCEPT 清空所有規(guī)則 /sbin/iptables -F /sbin/iptables -X 計數(shù)器置0 /sbin/iptables -Z第二步：設(shè)置規(guī)則允許來自于lo接口的數(shù)據(jù)包，如果沒有此規(guī)則，你將不能通過127.0.0.1訪問本地服務(wù)，例如ping 127.0.0.1 /sbin/iptables -A INPUT -i lo -j ACCEPT 開放TCP協(xié)議22端口，以便能ssh，如果你是在有固定ip的場所，可以使用 -s 來限定客戶端的ip /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT開放TCP協(xié)議80端口供web服務(wù) /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT10.241.121.15是另外一臺服務(wù)器的內(nèi)網(wǎng)ip，由于之間有通信，接受所有來自10.241.121.15的TCP請求 /sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT接受ping /sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT這條規(guī)則參看：http://www.netingcn.com/iptables-localhost-not-access-internet.html /sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT屏蔽上述規(guī)則以為的所有請求，不可缺少，否則防火墻沒有任何過濾的功能 /sbin/iptables -P INPUT DROP可以使用 iptables -L -n 查看規(guī)則是否生效

至此防火墻就算配置好，但是這是臨時的，當(dāng)重啟iptables或重啟機(jī)器，上述配置就會被清空，要想永久生效，還需要如下操作：

/etc/init.d/iptables save 或 service iptables save執(zhí)行上述命令可以在文件 /etc/sysconfig/iptables 中看到配置

以下提供一個干凈的配置腳本：

/sbin/iptables -P INPUT ACCEPT /sbin/iptables -F /sbin/iptables -X /sbin/iptables -Z/sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT /sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT /sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -P INPUT DROP

最后執(zhí)行?，先確保ssh連接沒有問題，防止規(guī)則錯誤，導(dǎo)致無法連上服務(wù)器，因?yàn)闆]有save，重啟服務(wù)器規(guī)則都失效，否則就只有去機(jī)房才能修改規(guī)則了。也可以參考：ubuntu iptables 配置腳本來寫一個腳本。

4、常用網(wǎng)絡(luò)監(jiān)控命令

（1）?netstat -tunl：查看所有正在監(jiān)聽的端口

[root@AY1407041017110375bbZ ~]# netstat -tunl Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN udp 0 0 ip:123 0.0.0.0:* udp 0 0 ip:123 0.0.0.0:* udp 0 0 127.0.0.1:123 0.0.0.0:* udp 0 0 0.0.0.0:123 0.0.0.0:*
其中123端口用于NTP服務(wù)。

（2）netstat ?-tunp：查看所有已連接的網(wǎng)絡(luò)連接狀態(tài)，并顯示其PID及程序名稱。

[root@AY1407041017110375bbZ ~]# netstat -tunp Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address ? ? ? ? ? ? ? Foreign Address ? ? ? ? ? ? State ? ? ? PID/Program name ?? tcp ? ? ? ?0 ? ? 96 ip:22 ? ? ? ? ? ?221.176.33.126:52699 ? ? ? ?ESTABLISHED 926/sshd ? ? ? ? ? ? tcp ? ? ? ?0 ? ? ?0 ip:34385 ? ? ? ? 42.156.166.25:80 ? ? ? ? ? ?ESTABLISHED 1003/aegis_cli ?
根據(jù)上述結(jié)果，可以根據(jù)需要kill掉相應(yīng)進(jìn)程。

如:

kill -9 1003

（3）netstat -tunlp

（4）netstat常用選項(xiàng)說明：

-t: tcp ??

-u : udp
-l, --listening
? ? ? ?Show only listening sockets. ?(These are omitted by default.)
-p, --program
? ? ? ?Show the PID and name of the program to which each socket belongs.
--numeric , -n
Show numerical addresses instead of trying to determine symbolic host, port or user names.

5、修改ssh的監(jiān)聽端口

（1）修改?/etc/ssh/sshd_config?

原有的port 22

改為port 44

（2）重啟服務(wù)

/etc/init.d/sshd restart
（3）查看情況

netstat -tunl Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:44 0.0.0.0:* LISTEN udp 0 0 ip:123 0.0.0.0:* udp 0 0 ip:123 0.0.0.0:* udp 0 0 127.0.0.1:123 0.0.0.0:* udp 0 0 0.0.0.0:123 0.0.0.0:*

總結(jié)

以上是生活随笔為你收集整理的阿里云服务器安全设置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。