阿里云ECS服务器风险整改项

最新推荐文章于 2025-04-17 15:00:00 发布
最新推荐文章于 2025-04-17 15:00:00 发布
阅读量952 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux运维文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gbenson/article/details/98587483
本文档详细介绍了阿里云ECS服务器的安全加固措施,包括Redis和Memcached的配置优化,如开启密码认证、修改默认端口、限制配置文件访问权限及禁用危险命令,以提升服务器安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

阿里云ECS服务器风险整改项

Redis相关

开启redis密码认证,并设置高复杂度密码

redis在redis.conf配置文件中,设置配置项requirepass, 开户密码认证。 redis因查询效率高,auth这种命令每秒能处理9w次以上,简单的redis的密码极容易为攻击者暴破。

打开redis.conf,找到requirepass所在的地方,修改为指定的密码,密码应符合复杂性要求:
1、长度8位以上
2、包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(09)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱密码,如:abcd.1234 、admin@123

再去掉前面的#号注释符,然后重启redis

禁止使用root用户启动

使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。redis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的

使用root切换到redis用户启动服务:
$ sudo useradd -s /sbin/nolog -M redis
$ sudo chown -R redis:redis /<redis-server-path>
$ sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf
修改默认6379端口

避免使用熟知的端口,降低被初级扫描的风险

编辑文件redis的配置文件redis.conf,找到包含port的行,将默认的6379修改为自定义的端口号,然后重启redis
限制redis 配置文件访问权限

因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600

执行以下命令修改配置文件权限:
$ sudo chmod 600 /<filepath>/redis.conf
禁用或者重命名危险命令

Redis中线上使用keys *命令,也是非常危险的。因此线上的Redis必须考虑禁用一些危险的命令,或者尽量避免谁都可以使用这些命令,Redis没有完整的管理系统,但是也提供了一些方案。

修改 redis.conf 文件,添加
rename-command FLUSHALL ""
rename-command FLUSHDB  ""
rename-command CONFIG   ""
rename-command KEYS     ""
rename-command SHUTDOWN ""
rename-command DEL ""
rename-command EVAL ""

然后重启redis。 重命名为"" 代表禁用命令,如想保留命令,可以重命名为不可猜测的字符串,如: rename-command FLUSHALL joYAPNXRPmcarcR4ZDgC

Memcached相关

禁止使用root用户启动

使用root权限运行网络服务存在很大的风险,应避免使用root权限用户直接运行memcached服务

$ sudo useradd memcached -M -s /sbin/nologin
$ memcached -u memcached -p <port> -l <监听ip> -m 64m -c 512 &
确保禁用memcache的UDP支持

攻击者可以利用memcache的UDP支持进行Memcache UDP 反射放大攻击,实施DDoS攻击

Memcached 启动时,建议添加“-U 0”参数可完全禁用 UDP
memcached -u memcached -p <port> -U 0 -l <监听ip> -m 64m -c 512
禁止监听在公网

Memcache服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程。如果服务器直接暴露在互联网上非常危险,存在极大的数据泄漏风险和服务被入侵风险

在启动memcache时使用-l选项将memcache的监听主机指定为本机或是内网ip

持续更新…

Redis服务安全加固
qq_40907977的博客
02-09 3465
转载来源 : https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186623.4.4.674b4b12XmJSTD 一.背景描述 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通...
阿里云服务器进入黑洞应该怎么办?
jisuyunzzc的博客
08-04 1966
阿里云服务器进入黑洞应该怎么办? 今天遇到一个客户,他服务器被DDos进到了阿里云黑洞。黑洞是什么?云服务器遭受 DDOS 攻击,进入黑洞了,该怎么办?下面赵一八笔记慢慢道来。 1:“ 黑洞 ”是什么? 黑洞是指服务器受攻击流量超过本机房黑洞阈值时,云计算服务商屏蔽服务器的外网访问。当服务器进入黑洞一段时间后,如果系统监控到攻击流量停止,黑洞会自动解封。 2:进入“ 黑洞 ”了,该怎么办? 由于黑洞是各大云计算服务商向运营商(联通、电信、移动)购买的服务,而运营商对黑洞解除时间和频率都有严格的限制,所以黑洞
阿里云、云机器被渗透
xiaoyiandun的博客
03-29 2738
最近很多阿里云机器以及云主机被渗透数据库进行勒索。那么我们要怎么保证我们的业务上线之后不被有心人利用呢?(阿里云服务器怎么防止被渗透) 渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。
阿里云提示服务器ip暴露该怎么办?-速盾网络(sudun)
zhuguowang01的博客
01-10 1063
通过更改IP地址,检查网络安全设置,优化服务器配置,使用Web应用程序防火墙,定期备份数据和进行安全意识培训,您可以降低服务器遭受攻击的风险,并保护您的数据安全。当阿里云提示服务器IP暴露的时候,这意味着您的服务器可能面临安全风险,因为黑客可以通过知道服务器的IP地址来尝试入侵您的系统。您可以检查防火墙和其他安全设置,确保只有授权的IP地址能够访问您的服务器。您可以联系您的云服务提供商,要求分配一个新的IP地址给您的服务器。这样,即使您的服务器遭受攻击或数据丢失,您仍然可以恢复到最新的备份。
阿里云服务器如何暴露端口
simpleness_的博客
03-04 1667
阿里云服务器如何暴露端口
阿里云服务器暴露主机端口号
qq_22158743的博客
07-30 2708
阿里云服务器暴露端口号的 坑!!!!!! 之前使用学生价买了阿里云服务器,最近做目,想部署一些服务到上面去,配置好了防火墙,暴露了端口,当是本地还是无法访问,郁闷了好长一段时间(小白!!)。 后来才发现还需要在控制台上设置!!! 在控制台上,找到安全->防火墙: 下面是默认暴露的端口: 如果自己需要暴露某些端口,点击添加...
服务器源IP暴露了怎么办?
m0_70754056的博客
08-16 698
服务器一旦被人恶意攻击基本便是玩完了哦,有朋友问问题的时候将自己的服务器IP泄漏出来了,其时也是出于习惯,就随口提醒了一下他。但是后边的一位朋友却说ip又没什么秘密,意思也便是:泄漏就泄漏了,没什么问题。为什么这么说?这就得从“泄漏IP会形成什么坏的成果”这个问题说起。 1、源IP泄漏,不法者会通过DDOS、CC攻击你服务器,如果没有用高防服务器,一打就挂。 2、杜绝了网络上那些到处扫描端口、扫描漏洞、被黑客侵略,爆库等等危险的行为。只要你ecs在的机房有用户泄漏ip被人盯上了,整个机房网段都别想
服务器】(四)阿里云ECS上搭建Hadoop集群环境——设置(真分布式)Spark与Scala
系'辞的博客
04-09 343
安装Scala2.11.12版: cd /home/test/Downloads tar -zxvf /home/test/Downloads/scala-2.11.12.tgz -C /home/test/install/ cd /home/test/install vim /etc/profile #文件内容如下: export SCALA_HOME=/home/test/install/scala-2.11.12 export PATH=$PATH:$SCALA_HOME/bin
阿里云大模型ACP认证模拟考试(三)
最新发布
davidkorhenn的博客
04-17 1686
【摘要】:在阿里云大模型高级工程师 ACP 认证暂无真题题库的现状下,模拟题具有重要意义。其依照真实考试设计,涵盖题型、题量与分值分布,助力考生熟悉考试框架,合理分配答题时间精力,提升效率。同时,模拟题紧扣官方课程,能帮助考生精准定位知识盲点,如大模型架构原理和通义千问应用实践等重点内容,以便针对性完善知识体系。此外,通过练习模拟题,考生可掌握不同题型的解题思维与技巧,快速洞察复杂题目本质,提高答题准确率。
公有云运维环境配置
iTFu_的博客
06-24 777
弹性计算服务是阿里云提供的laaS级别云计算服务,称为云服务器ECSECS服务实现了计算资源的即开即用、按需和弹性可伸缩。弹性计算服务的优势包括:①成本低廉:企业和个人用户无需自建机房,无需采购及配置硬件设施。②交付周期短,有助实现快速部署,缩短应用上线周期③按需付费使用,支持根据业务波动进行资源的动态配置④提供多种架构的服务器资源,支持通过内网访问其他阿里云服务,形成丰富的行业解决方案⑤构建高等级的安全防护,提供虚拟防火墙、控制访问、内网隔离、防病毒攻击及流量监控等多重安全方案。
服务器IP暴露后如何处理
weixin_45967826的博客
10-26 2031
服务器一旦被人恶意攻击基本便是玩完了哦,有朋友问问题的时候将自己的服务器IP泄漏出来了,其时也是出于习惯,就随口提醒了一下他。但是后边的一位朋友却说ip又没什么秘密,意思也便是:泄漏就泄漏了,没什么问题。为什么这么说?这就得从“泄漏IP会形成什么坏的成果”这个问题说起。 1、源IP泄漏,不法者会通过DDOS、CC攻击你服务器,如果没有用高防服务器,一打就挂。 2、杜绝了网络上那些到处扫描端口、扫描漏洞、被黑客侵略,爆库等等危险的行为。只要你ecs在的机房有用户泄漏ip被人盯上了,整个机房网段都别想安定了,
“文化惠”平台专家评审会会议纪要 时间:2024年2月27日 技术讨论与评审意见 平台现状与并发处理 当前“文化惠”平台用户量超50万,订单量达40万级,但在大型活动(如演唱会)时面临高并发压力,曾因数据库直连导致系统崩溃。现有架构为单应用服务器(8核16G)搭配主从数据库,日常访问量约两三千,但峰值QPS可达12万,需分层压测(应用层、中间件、数据库)并优化横向扩容能力,建议采用弹性云资源(如阿里云ECS)和Redis缓存策略,限制高频接口调用,通过队列消化瞬时流量。 数据库与架构优化 数据库存在主从分离不彻底、读写未分流的问题,导致CPU满载。专家建议拆分关键业务接口(如订票、实时查询),实现读写分离,并升级MySQL版本以支持集群化部署。同时需定期清理冗余数据,优化历史数据存储策略。 安全与信创适配 当前系统未通过等保评估,部分敏感数据未加密存储,且服务器部署于阿里云,不符合广西本地数据监管要求。建议迁移至本地云(如天翼云/华为云),补充密码评估模块,强化API接口鉴权,并适配信创环境(如麒麟OS、达梦数据库),确保软硬件国产化兼容。 功能升级与AI应用 计划进行UI全面改版,统一多端风格;打通抖音/小红书直播带货链路,开发文创积分商城;引入AI客服和智能推荐功能,提升用户粘性。技术方已与抖音、小红书达成深度合作,计划通过私有化大模型训练优化个性化服务。 运维与应急方案 运维预算不足导致扩容响应滞后,需建立专团队并制定弹性扩容SOP。建议完善日志监控与报警机制(如企业微信机器人),针对关键业务接口(如抢票API)设计限频限速策略,并提前部署应急服务器资源以应对脉冲流量。 系统部署与信创要求 现有Docker容器化部署方案需优化启动效率(当前扩容需15-20分钟),建议结合信创环境调整技术栈(如替换OpenResty为国产网关),确保系统在国产化硬件上的稳定运行。 评审结论 专家组认为当前系统功能基本满足业务需求,技术架构支持横向扩展,升级方案总体可行,但需重点完善以下内容: 架构优化:补充分层压测报告,明确分钟级峰值QPS承载能力; 安全合规:提交等保2.0评估计划,加快信创适配进度; 实施保障:优先完成UI升级与并发优化,同步推进AI功能试点; 运维机制:制定分阶段预算投入计划,建立跨部门协作流程。 下一步行动:技术方需于3月1日前提交详细扩容与安全加固方案,集团协调资源审批并成立专组跟进落地。讲这些内容转换成Markdown格式
03-08
- 采用弹性云资源(如阿里云ECS)和Redis缓存策略 - 限制高频接口调用,通过队列消化瞬时流量 ### 数据库与架构优化 - **问题分析**: - 主从分离不彻底,读写未分流,CPU满载 - **改进方案**: - 拆分...
如何处理阿里云ECS服务器提示存在漏洞
热门推荐
chenchen_fcj程序猿的博客
10-17 8万+
1.看到云服务器下,标签栏,有个黄色盾牌标识,点进去,就是提示漏洞 2.再点击1个待处理,进去就显示如下:   3.当点击右边的“操作”,显示一键修复或者生成修复命令(不过这是花钱的)。 关于这个问题自己手动修复的话, 采用软件升级一般都可以解决。除了提示带kernel的高危漏洞其他的不需要重启实例即可修复. 有kernel的需要更新完成重启实例。 这里可以先把“漏洞名...
腾讯云和阿里云禁止root用户登录
wenling1314的博客
03-15 3285
我们自己买的腾讯云和阿里云服务器经常遭到破解: 原因:root用户密码简单或者破解者使用暴力破解 解决方案:禁止root用户登录,设置子用户,使用子用户进行登录 以cenos为例: 1、添加子用户 2、设置root禁止登录 ...
阿里云服务器一直提示安全事件如何解决
分享学习编程中的遇到的问题,总结平时的笔记
08-17 2181
阿里云服务器一直发送短信提醒安全事件导致服务器中的然和程序都无法访问的时候该如何处理
关于阿里云ECS服务器提示高危漏洞问题的处理
t0m的专栏
03-30 2万+
购买阿里云服务器后, 一段时间, 会发钱提示高危漏洞, 而且很多, 有高危/中危/低危/严重等几个等级.当点击(一键修复或者生成修复命令时,开始让买买买了就);关于这个问题自己手动修复的话, 采用软件升级一般都可以解决.除了提示带kernel的高危漏洞其他的不需要重启实例即可修复. 有kernel的需要更新完成重启实例.修复过程如下:root登陆yum check-update 查看可升级的系统软...
阿里云部署tomcat暴露外网访问
zeng25977的专栏
09-07 846
一、首先你得有一台外网上的服务器   华为、腾讯、阿里都有云服务售卖,我这里是在阿里云打折时购买的。 二、使用Xshell和XFTP连接上云服务   当然了,连接工具有很多种,可随意。购买服务器之后,你会收到云服务的一些数据,可以根据这些数据去连接。 (1)连接XFTP    (2)连接XShell 三、上传Tomcat和JDK到云服务上   可以通过XFTP这个可视化工具,去拖拽上传 也可以通过rz指令,在xshell控制上弹出文件选择框,来选择指定的文件上传到云服务器当前文件.
阿里云服务器存在恶意挖矿程序
u014203449的博客
03-01 5817
阿里云发了很多短信。 进入服务器,发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[...
Redis六安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 3123
一、限制redis 配置文件访问权限 | 文件权限 描述 因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600, 加固建议 执行以下命令修改配置文件权限: chmod 600 /<filepath>/redis.conf 操作时建议做好记录或备份 二、修改默认6379端口 | 服务配置 描述 避免使用熟知的端口,降低被初级扫描的风险 加固建议 编辑文件redis的配置文件redis.conf,找到包含port的行,将默认的6379修改
阿里云ECS服务器快速入门指南
本文档提供了一篇关于阿里云ECS服务器入门使用流程的新手教程,内容涵盖选择服务器配置、登录控制台、连接主机、开通安全组以及网站搭建等步骤。 阿里云ECS服务器的选用首先需要考虑CPU、内存、带宽和地域这四个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Benson_xuhb

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值