Security

幫我設置一個好的安全策略

  • December 5, 2010

我在共享主機上執行一個站點,而圖像託管是在亞馬遜 s3 上完成的。我已經為備份打開了第二個共享主機帳戶。這是我的設置:

A -> 共享主機上的站點,將圖像推送到 B (s3 api) 和 C (通過 sftp),並將每日備份到 B (s3 api) 和 C (通過 sftp)

B -> amazon s3 儲存桶用於主映像主機和儲存桶用於備份

C -> 共享主機上的第二個帳戶,用於備份主機 B 的圖像和備份 A 的數據。主機只允許一個具有完全 root 訪問權限但被越獄的 sftp 帳戶。

我對這個設置的問題是 A 是一個完全失敗的點 - 任何可以訪問 A 的人都能夠(最壞的情況)擦除 A、B 和 C。

有人可以推荐一個更好的設置嗎?提前致謝。

如果您的流程是自治的,那麼總會有單點故障,否則您將如何調配資源並控制流程?盡最大努力鎖定這台機器,你應該沒事。

一些鎖定單點故障的方法:

  1. 關閉服務並關閉不需要的埠
  2. 解除安裝不需要的軟體
  3. 遵循強化 ssh 的最佳實踐。其中包括但不限於:禁止密碼驗證、禁止 root 登錄、更改預設埠、將可以登錄的使用者列入白名單
  4. 使用像 fail2ban 這樣的工具來阻止埠敲門人和腳本小子

引用自:https://serverfault.com/questions/196522