今天捣鼓了一天服务器安全配置,差点把自个儿绕坑里。上回《战国风云》开新服,刚上线三天就被脚本小子捅成筛子,气得我连夜重装系统。这回学乖了,先把防火墙当祖宗供起来。
第一步:关门放狗
刚装完纯净系统,手指头还没摸热乎,直接怼上防火墙。先把22端口的狗洞堵死,这年头黑客扫服务器就跟查水表似的,逮着22端口就使劲撬。手动改了ssh端口,改完自己都愣了三秒才记住新门牌号。
- 关root远程登录:在sshd_config里把PermitRootLogin改成no
- 钥匙开门:禁用密码登录,全靠密钥文件当通行证
- 白名单锁区:iptables里只放行中国IP段,老外想摸进来先翻墙
第二步:给房门加暗锁
半夜两点突然想起来,MySQL这傻白甜还开着3306大门迎客。赶紧把bind-address改成127.0.0.1,结果游戏数据库连不上了,后台程序嗷嗷报错。折腾半小时才发现漏改了个应用配置文件,这坑踩得眼冒金星。
顺手把web服务器目录权限砍到最低,什么755、644权限码得背熟。突然想起前年吃过亏——有个脚本小子就是顺着tmp目录爬进来的,这回专门用chattr命令给敏感文件上锁,连root都删不动那种。
第三步:埋地雷阵
装了个入侵检测工具,规则集更新包足足1.2G。等下载时候泡了碗面,回来发现屏幕在刷屏报警。原来测试服没关监听取证功能,玩家正常登录动作被当成了爆破攻击。赶紧把游戏端口加到白名单,警报声这才消停。
- 定时炸弹:crontab里塞了凌晨3点的自动备份任务
- 暗桩监控:用auditd记录所有sudo操作
- 假情报:专门搞了几个蜜罐端口,谁碰就封IP段
第四步:留后路
搞技术这些年栽的跟头,十次有八次是配置改崩了回不去。现在学精了,改文件前先cp命令复制个带时间戳的备份,改完服务重载不报错才敢喘气。最绝的是给服务器主板接了智能插座,真碰上死机直接手机断电重启,比跑机房省下两小时。
这套组合拳打下来,新服扛住了三波CC攻击。昨晚监控看到有个IP连着爆破新ssh端口,结果撞到fail2ban枪口上,直接送进小黑屋。现在每天睡醒先看安全日志,比看股票涨跌还带劲。
