V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
banyejiu
V2EX  ›  问与答

请教一下大家,云服务器安全配置问题~

  •  
  •   banyejiu · 2023-09-05 11:29:05 +08:00 · 422 次点击
    这是一个创建于 456 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:我属于是甲方公司,技术兼运维。开发公司技术不够,咱也不知道是关系还是啥。总共有三台服务器,
    1 台服务器跑的是后端服务+nginx ;
    1 台跑的是中间件:redis 、mysql 、elasticsearch ;
    1 台跑的是聊天组件。
    以上服务全都用 docker 跑的,没错~都是用 docker-compose 运行的。端口开发的一塌糊涂,ssh 、mysql 、redis 、elasticsearch 、kibana 端口全在公网暴露,其中 redis 、elasticsearch 、kibana 没有密码就可以连接。
    我想给他重构一下,我技术也很菜,下面是我想的方案,想请大家给帮忙指教一下~

    看了好多帖子,大部分都是说 VPN 和堡垒机什么的,我也不会用这些~
    我想的安全配置是:
    1. 公网端口全部禁用掉(只留 im 服务和 nginx 服务端口),其他全部走阿里云的主私网 IP172 。期间可能要远程连接 mysql ,如果开放 mysql 公网端口的话那就把自己的 IP 地址设置到网络安全组的白名单中;
    2. ssh 禁止密码访问,设置秘钥访问。新建一个普通用户,执行命令用 sudo ;
    3.ssh 公网端口设置 ip 白名单,然后用 fail2ban ,设置错误 3 次就 denyIp 。

    以上就是我想的方案,水平有限,所以想请教一下大家~希望大家不吝赐教。公司有说堡垒机,但是我不会用。堡垒机有作用的话我会去学
    Tyuans
        1
    Tyuans  
       2023-09-05 12:31:17 +08:00
    堡垒机更多的是对内吧,人员分权限,操作审计等。基本都不复杂。如果有条件,尽量弄一个堡垒机。
    banyejiu
        2
    banyejiu  
    OP
       2023-09-05 12:57:21 +08:00
    @Tyuans 好的谢谢~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5920 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:29 · PVG 10:29 · LAX 18:29 · JFK 21:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.