讲真,头一回接触云服务器之士,八成会因端口搞得心力交瘁。
明明是依照教程一步一步进行配置的,可是服务却始终无法启动起来,而且外网无论如何都打不开。那种满心满脑均被挫败填满而产生的感觉,我是明白知晓的。
端口到底是个啥玩意儿?
别想得太复杂。
你就把云服务器想象成一栋大房子,端口就是这栋房子上的门。
留给 SSH(远程控制)通行的是 22 号门,供 HTTP(网页访问)通过的乃 80 号门。若不想让坏人进入,就要把某些门锁住,或者仅让特定的人经由特定的门。
那些该死的默认端口
很多新手图省事,全用默认设置,这是大忌。
二十二(SSH) ,它是Linux服务器至关重要的关键所在 ,同时也是黑客扫描器极为青睐的热门目标。
其中,3389(RDP),它还是被称作是Windows远程桌面的门,同时又是暴破攻击方面会出现的重灾区。
3306 (MySQL):数据库的门,一旦暴露,数据裸奔。
80(HTTP),用以运行网页的,这个通常是必须要开启的。443(HTTPS),用于跑网页的,这一个通常也必然得开启。
你以为开着22端口,设个复杂密码就万事大吉了?太天真了。
如今存在的暴力破解工具,其速度快到令人咋舌可言,如果你的22端口朝着全世界开放(呈现0.0.0.0/0这种状态),那么在不到24小时的时间里,你的服务器日志里将会存在成千上万条试图登录的失败记录。
怎么就配不对呢?气死人
很多人碰到的状况是,云服务商的控制台进行了配置,服务器的防火墙也已关闭,然而端口依旧呈现黑色状态。
这是因为云服务器有“两道门”。
第一道是云服务商那边的安全组(就像小区大门的保安)。
第二道才是服务器系统自带的防火墙(就像你家门口的锁)。
两道门都得打开,数据才能流进来。只开一道,那就是死路。
最简单的“三板斧”设置法
别管那些花里胡哨的,按这个顺序查:
一、去往云控制台,寻觅“安全组”或者“防火墙”菜单。二、依据你的实例所在区域,前往对应区域的上述菜单查找。
2. 添加“入方向”规则:这是定义谁能从外面敲你的门。
类型:选HTTP、HTTPS或者自定义TCP。
端口:填你想要开的,比如8080。
出处是,这个占据着最为关键的地位! 假设处于数据库或是后台管理的情况之下,千万不要选中“0.0.0.0/0”(此为允许全部IP的设置),仅仅填写你自家宽带所对应的IP或者公司的IP。
3. 顺便去查看一下系统防火墙:对于Linux而言,运用iptables -L或者firewall-cmd --list-all去瞧一瞧,以此来保证系统没有将端口给阻挡住。
最容易被忽略的“送命题”
有些端口,不是你开了就能用的。
比如说,用于发邮件的二十五个端口,基本上大厂所提供的云服务器在默认设定时都开展了封禁处理,原因在于过去有相当多的人借助此端口发送垃圾邮件,要是你须应用这个端口,那就得去提交工单来申请将其解封,而且整个流程是颇为繁杂不便的。
仍然存在着135、137、139、445这些为人所熟知的坏名声的端口,哪怕云厂商不去阻拦,运营商在骨干网络路上都极有可能把你阻断掉。老老实实地更换一个端口吧。
能不能让服务器变成“隐身模式”?
当然可以。
改变端口,将SSH从22换位2222,亦或是改换为诸如10086这般处于高位的、并无规律可循的端口,这般做虽无法阻挡那些真正将目光锁定于你的高手,然而却可以把99%的自动化扫描脚本给过滤掉,刹那间世界便变得清净。
实施绑IP处理。要是你运用的是固定IP,于安全组当中径直开展设置,使得来源仅仅能够是你的IP。达成这般情况之后,针对其他人员而言,此端口等同于于互联网上销声匿迹,根本无法扫描得到。
写这篇文章的时候,我看了眼自己的服务器日志。
又是一堆来自俄罗斯、巴西的IP在试图撞我的22端口。
在我的22端口仅仅针对我家宽带所对应的那个IP予以开放的状况下,我并未理会他们,对于其他人而言,这扇根本不存在的门,确实如此。
这才是端口设置的终极安全感。
Comments NOTHING