購買的伺服器如何安裝安全組

Ⅰ 騰訊雲服務部署（Centos7）+ 安全加固配置

最後希望別再被攻擊了~~~~

用戶安全設置中綁定MFA，增加部分操作的二次認證。綁定過程需要微信添加虛擬MFA，操作還是比較簡單的，可以自行參讓宴閱指導文檔。

選中自己的伺服器，點擊更多，重裝系統後，提示以上頁面。

在服務市場選中需要安裝的鏡像，我這里選的是<u> 騰訊雲安全加固鏡像-centos7 </u>

可以先選中密碼或者直接密鑰登陸，如果使用密碼建議使用隨機16位密碼進行配置。

最後開始重裝，系統一會就重裝好了。

這里介紹VNC登陸方式，主要是避免一部分無法使用ssh登陸伺服器的，如果可以直接ssh登陸伺服器的可以不用vnc登陸

點擊VNC方式登陸，提示登陸用戶名和密碼，輸入即坦肢銀可登陸伺服器。

需要從控制台載入sshkey的話，需要關閉伺服器。

載入完成後，伺服器開機，嘗試使用ssh登陸伺服器

不想增加小號也可以修改為不允許密碼登陸root

將sysrls用戶加入sudo列表中，方便從sysrls用戶切換用戶等操作。

同時增加安全組配置（如果伺服器firewalld或者iptables服務開著，還需要在伺服器中配置埠放行）

禁用用戶登陸的方法

或者可以使用 passwd -l 用戶來禁用用戶

在系統加固安全防護上我還是個弟弟，所以只飢賀能稍微盡點人事，降低被木馬的概率。

Ⅱ 阿里雲伺服器ecs怎麼用

完成雲伺服器ecs創建之後的第一步是下載Xftp6。

工具：iphone12、ios14.4、ecs2.1.3。

1、下載Xftp6，進入下載頁面後，選擇Evaluation user / Home & School user，信息隨便填，下載地址會發送到你填寫的郵箱，下載完成後正常安裝即可。

阿里雲主要產品：

1、彈性計算：

雲伺服器ECS：可彈性擴展、安全、穩定、易用的計算服務

塊存儲：可彈性擴展、高性能、高可靠的塊級隨機存儲

專有網路VPC：幫您輕松構建邏輯隔離的專有網路

負載均衡：對多台雲伺服器進行流量分發的負載均衡服務

彈性伸縮：自動調整彈性計算資源的管理服務

資源編排：批量創建、管理、配置雲計算資源

容器服務：應用全生命周期管理的Docker服務

高性能計算HPC：加速深度學習、渲染和科學計算的GPU物理機

批量計算：簡單易用的大規模並行批處理計算服務

E-MapRece：基於Hadoop/Spark的大數據處理分析服務

2、資料庫：

雲資料庫RDS：完全兼容MySQL，SQLServer，PostgreSQL

雲資料庫MongoDB版：三節點副本集保證高可用

雲資料庫Redis版：兼容開源Redis協議的Key-Value類型

雲資料庫Memcache版：判輪在線緩存服務，為熱點數據的訪問提供高速響應

PB級雲資料庫PetaData：支持PB級海量數據存儲的分布式關系型資料庫

雲資料庫HybridDB：基於GreenplumDatabase的MPP數據倉庫

雲資料庫OceanBase：金融級高可靠、高性能、分布式自研資料庫

數據傳輸：比GoldenGate更易用，阿里異地多源神活基礎架構

數據管理：比phpMyadmin更強大，比Navicat更易用

Ⅲ 雲主機怎麼安裝

安裝阿里雲主機步驟如下（以阿里雲主機為例來說明）：

第一步：遠程連接阿里雲主機。

1）打開xshell

2）設置雲伺服器登錄信息，點擊認證（新版本可能是「用戶身份驗證」）。填寫阿里雲主機用戶名和密碼。

3）設置伺服器帳號密碼。再點擊「連接」，填寫在「主機」處填寫你購買的阿里雲主機的IP地址。

4）設置字元集編碼。點擊」終端「，然後在「編碼」選項選擇「UTF-8″。然後按確定保存配置。接著就開始連接主機了。

5）連接完成

第二步：使用阿里雲自帶的分區工具auto_fdisk.sh給數據盤分區並格式化、掛載。

這個工具默認自帶的，不需要下載安裝。它的功能是「自動檢測是否有尚未分區的數據盤，格式化新的數據盤並自動掛載。」

第三步：配置系統——Linux一鍵安裝web環境全攻略。

Ⅳ 阿里雲伺服器專用網路安全組怎麼設置

小鳥雲伺服器配備純SSD架構打造的高性能存儲，旨在為用戶提供優質、高效、彈性伸縮的雲計算服務。
安全策略：設置各種與伺服器通過網路通訊的許可權和通訊規則的管理。 如：允許或禁止某個IP通過某種協議訪問本伺服器某個埠（這是由安全策略里的「IP篩選器表」來設定和管理），通訊時是否要驗證，通過什麼方式和加密手段驗證（這些是通過「篩選器操作」來設定和管理）。 打開方式：控制面板 -> 管理工具 -> 本地安全策略 -> IP安全策略 本地計算機 使用舉例：讓指定IP（IP1)(段)可以訪問本機（HOST）上的SQLSERVER（1433埠），其它IP不允許連接。 步驟1：建立兩個IP篩選器，一個是從HOST上的1433到IP1上任何埠的（鏡像的）篩選器，命名為SQL SERVER ALLOWED IPs；另一個是HOS上的1433到任何IP任何埠的（鏡像的）篩選器，命名為SQL SERVER DENIED IPs； 步驟2：建立至少兩個篩選操作，一個是「允許」，一個是「阻止」； *以上兩個步驟通過右擊空白->管理IP篩選器表和篩選器操作來完成. 步驟3：右擊空白->創建IP安全策略：點「添加」來添加兩條規則。1）選擇篩選器SQL SERVER DENIED IPs，對應選擇「阻止」操作； 2）選擇篩選器SQL SERVER ALLOWED IPs，對應選擇「允許」操作。這樣，策略就建好了。 步驟4：右擊策略->指派。只有指派了的策略才會生效

Ⅳ Windows 伺服器安全設置的方法教程

阿江的Windows 2000伺服器安全設置教程

前言

其實，在伺服器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心裡很不踏實，總害怕說錯了會誤了別人的事。

本文更側重於防止ASP漏洞攻擊，所以伺服器防黑等方面的講解可能略嫌少了點。

基本的伺服器安全設置

安裝補丁

安裝好操作系統之後，最好能在託管之前就完成補丁的安裝，配置好網路後，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然後點擊開始→Windows Update，安裝所有的關鍵更新。

安裝殺毒軟體

雖然殺毒軟體有時候不能解決問題，但是殺毒軟體避免了很多問題。我一直在用諾頓2004，據說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。

不要指望殺毒軟體殺掉所有的木馬，因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。

設置埠保護和防火牆、刪除默認共享

都是伺服器防黑的措施，即使你的伺服器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽埠用本地安全策略，不過這方面的東西網上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網站上。

許可權設置

阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優秀的許可權設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

許可權設置的原理

WINDOWS用戶，在WINNT系統中大多數時候把許可權按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

NTFS許可權設置，請記住分區的時候把所有的硬碟都分為NTFS分區，然後我們可以確定每個分區對每個用戶開放的許可權。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）許可權。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫「IIS匿名用戶），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的許可權，就是這個「IIS匿名用戶所具有的許可權。

許可權設置的思路

要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置許可權的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。

設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父許可權，並且要加上超管組和SYSTEM組）。

這樣設置了之後，這個站點里的ASP程序就只有當前這個文件夾的許可權了，從探針上看，所有的硬碟都是紅叉叉。

我的設置方法

我是先創建一個用戶組，以後所有的站點的用戶都建在這個組里，然後設置這個組在各個分區沒病許可權。然後再設置各個IIS用戶在各在的文件夾里的許可權。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎麼添加系統用戶和組，不知道怎麼設置文件夾許可權，不知道IIS站點屬性在那裡。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很傲能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我的在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的伺服器支持很多不安全組件。

其實，只要做好了上面的許可權設置，那麼FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的許可權。那個歡樂時光更不用怕，有殺毒軟體在還怕什麼時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬碟里的EXE等程序，比如它可以運行提升程序來提升SERV-U許可權甚至用SERVU來運行更高許可權的系統程序。

卸載最不安全的組件

最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下伺服器，你會發現這三個都提示「×安全了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，並且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然後【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：「{13709620-C279-11CE-A49E-444553540000}和「Shell.application。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那麼，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然後把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名後的注冊表項之後，別忘記了刪除原有的`那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改後的代碼（兩個文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統進程

我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U許可權提升

其實，注銷了Shell組件之後，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字元就可以了，ServUAdmin.exe也一樣處理。

另外注意設置Serv-U所在的文件夾的許可權，不要讓IIS匿名用戶有讀取的許可權，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防範

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了許可權，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然後用木馬上傳提升工具來獲得更高的許可權，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇並且資料庫忘記了改名，人家就可以直接下載你的資料庫了，然後距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器，因為如果你的伺服器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些許可權設置和防提升之後，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。

Ⅵ 雲伺服器（阿里雲）的安全組設置

安全組 是一個ECS的重要安全設置，但對小白用戶來說卻很難理解其中晦澀難懂的專業術語。websoft9在此介紹個人的理解：

阿里雲官方解釋 ：安全組是一種虛擬防火牆，用於設置單台或多台雲伺服器的網路訪問控制，它是重要的網路安全隔離手段，用於在雲端劃分安全域。每個實例至少屬於一個安全組，在創建的時候就需要指定。

註解：簡單理解：伺服器什麼埠（服務）可以被訪問，什麼埠可以被封鎖

例子：伺服器80埠是用來提供http服務，如果伺服器部署了網站，而沒有開放80埠，這個網站肯定訪問不了，http: //ip 是打不開的。

這是很常見的問題，用戶第一感覺就是購買的伺服器有問題或購買的鏡像用不了。

遠程連接（SSH）Linux 實例和遠程桌面連接 Windows 實例可能會失敗。

遠程 ping 該安全組下的 ECS 實例的公網 IP 和內網 IP 可能會失敗。

HTTP 訪問該安全組下的 ECS 實例暴漏的 Web 服務可能會失敗。

該安全組下 ECS 實例可能無法通過內網訪問同地域（或者同 VPC）下的其他安全組下的 ECS 實例。

該安全組下 ECS 實例可能無法通過內網訪問同地域下（或者同 VPC）的其他雲服務。

該安全組下 ECS 實例可能無法訪問 Internet 服務。

當用戶購買一個新的伺服器的時候，阿里雲會提醒選擇安全組，對於一部分入門用戶來說，第一感覺就是選擇一個等級比較高的安全組，這樣更為保險。實際上，等級越高，開放的埠越少。甚至連80埠、21埠都被封鎖了，導致伺服器ping不通、http打不開。這樣最常見的訪問都無法進行，用戶第一感覺就是購買的伺服器有問題或購買的鏡像用不了。

在Websoft9客服工作中統計發現，96%的用戶瀏覽器http://公網IP 打不開首頁，都是因為安全組的設置關閉了80埠所導致。

第一，找到對應的實例，通過安全組配置選項進入設置。

第二，點擊「配置規則」，進入安全組規則設置。