Discourse 安装后安全配置考虑

防火墙

防火墙是肯定要装机器上的,并且端口只开放了 443 和 22。

22 的端口还只限制了部分 IP 段的访问,通常只允许给内部网络的 SSH。

Web 服务应该只走 443,80 端口的做好自动重定向到 443。

CloudFlare

可以用一个 CloudFlare 的负载均衡。

好处是,你的 IP 地址被 CloudFlare 给屏蔽了,直接 Ping 你的网站得到的是 CloudFlare 的 IP 地址。

另外,CloudFlare 也能够帮你挡住一些不正常有威胁的访问。

备份恢复

不管再怎么防范,日常备份肯定要做的。

一般来说 1 天一个备份就够了,最差最差的情况也可以让你的程序很快恢复。

备份的时候最好采取异地备份的方式,不要把备份文件放在本地上,要备份到云存储上。

以防止别人拿到了你的服务器控制权后连备份都拿不回来了。

备份上,也需要看看备份文件的大小,通常备份文件的大小是会增加的,也需要注意下,备份了,但是没有成功的情况,上面通常会有时间戳。

流量监控

网站的流量通常都会有一定规律的,如果有条件拿到 Nginx 的 Access 日志,就可以对每天的访问流量进行监控,如果突然出现不正常的流量就要担心了。

因为我们是附件和文本分离的,大的流量其实丢给了 AWS 的 CloudFront,所以对我们来说流量那边就比较好看。

CPU 和内存使用

这个多是因为有植入木马或者别人用你机器挖矿的这种情况。

表现就是 CPU 被长时间占用到 100%,网站访问上能明显感觉到速度下降。

某些 VPS 服务商,对长时间 CPU 使用率超过 100% 可能会给你邮件通知。

登录用户

SSH 的用户需要使用强密码,禁止 root 用户登录系统。

密码隔一段时间换一个,这样通常不会那么容易被攻入系统。

邮件通知

管理员可以设置一些邮件通知,比如发布回复内容的通知等等。

总结

其实上面的一些配置大部分就是为了让管理员能够了解下当前运行状况。

主要这个是在技术层面的,多了解下流量,基本上也就差不多了。

被植入木马,很多时候是因为其他的原因,我们的其他服务器出现过几次这种情况,多是因为 Linux 自带的防火墙都没有开,还别说硬件防火墙了,整个就在裸奔。

当开了 Linux 自带的防火墙后,到目前,被植入挖矿程序的问题,几乎没有出现。

请问 discourse 的服务器配置要求是什么 - #34 by VegaMonika - Discourse - iSharkFly

相关推荐
技术不好的崎鸣同学8 小时前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全
GEO_youxuan11 小时前
2026年儿童电话手表推荐:定位精度、通话安全与健康监测深度横评
安全
数据知道12 小时前
安全报告怎么写才专业:渗透测试报告模板与踩坑
安全·网络安全·漏洞修复·安全报告·渗透测试报告
doiito13 小时前
【安全,架构】RustyVault 项目深度分析报告以及和HashiCorp Vault的差异
后端·安全·rust
ylscode1 天前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
DianSan_ERP1 天前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
搭贝1 天前
低代码平台构建EHS环境健康安全管理系统:从隐患排查到合规审计的全流程实操指南
安全·低代码
doiito1 天前
【Web安全,微服务安全】HashiCorp Vault 项目深度分析报告
安全·微服务
一拳一个娘娘腔1 天前
第八期:实战演练 —— 构建一个完整的攻击链(模拟)
安全
星幻元宇VR1 天前
公共安全实训展厅设备【人防知识学习系统】
科技·学习·安全