云服务器端口安全:暴露风险排查与最小权限配置指南

端口暴露风险排查方法

通过端口扫描工具(如nmap)检测当前开放的端口:

bash 复制代码
nmap -sS -p 1-65535 <服务器IP>

检查结果中非必要开放的端口(如MySQL默认3306、Redis默认6379),若未使用应立即关闭。

查看服务器当前监听的端口及对应进程:

bash 复制代码
netstat -tulnp

或使用ss命令替代:

bash 复制代码
ss -tulnp

防火墙配置策略

启用防火墙(如iptablesfirewalld)并仅放行业务必要端口。以下为iptables示例,仅允许SSH(22)和HTTP(80):

bash 复制代码
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

使用firewalld的等价操作:

bash 复制代码
firewall-cmd --permanent --add-port=22/tcp
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --reload

最小权限原则实施

修改服务默认端口以降低扫描风险(如将SSH端口改为非22):

编辑/etc/ssh/sshd_config

ini 复制代码
Port 2222

重启服务生效:

bash 复制代码
systemctl restart sshd

数据库类服务(如MySQL)限制访问源IP:

sql 复制代码
GRANT ALL PRIVILEGES ON *.* TO 'user'@'特定IP' IDENTIFIED BY '密码';
FLUSH PRIVILEGES;

安全组与网络ACL配置

在云平台(如AWS、阿里云)配置安全组规则:

  • 入方向:仅允许业务端口(如80、443)及管理端口(SSH/RDP)来自可信IP。
  • 出方向:默认拒绝,按需放行。

网络ACL(如阿里云)建议规则:

  • 优先级1:放行特定IP访问管理端口。
  • 优先级100:拒绝所有其他入站流量。

日志监控与自动化告警

启用日志审计工具(如fail2ban)自动封禁恶意IP:

安装并配置fail2ban

bash 复制代码
apt install fail2ban  # Debian/Ubuntu
systemctl enable fail2ban

编辑/etc/fail2ban/jail.local

ini 复制代码
[sshd]
enabled = true
maxretry = 3

通过云平台日志服务(如AWS CloudTrail、阿里云ActionTrail)监控异常登录行为,并设置阈值告警。

相关推荐
BenSmith1 小时前
RTOS漏洞分析:CVE-2026-10641和CVE-2026-9263
安全
Dola_Zou2 小时前
以CmASIC重塑AI+边缘设备的安全与商业复利
人工智能·安全·软件工程·软件加密
小小小小钰儿2 小时前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
其实防守也摸鱼3 小时前
运维--安全与数据库
网络·数据库·学习·安全·安全威胁分析·数据库架构·软件安全
阿图灵4 小时前
requests 请求429报错解决方案(Vercel 平台安全拦截)
安全
拥抱太阳06165 小时前
HarmonyOS 应用开发《掌上英语》第14篇:可空类型与安全调用:ArkTS 的非空保障策略
安全
Sirius Wu5 小时前
OpenClaw Observability 并发安全(Per-Request Hook)完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
xywww1686 小时前
AWS 账号安全加固:Root 与 IAM 用户的 MFA 设置实操清单
安全·云计算·aws
头茬韭菜6 小时前
4.3 BashTool 防御链 — 七层安全防御的工程实现
安全·ai
数据知道7 小时前
BGP 劫持是怎么回事?运营商级路由安全科普
网络·安全·网络安全·智能路由器·bgp劫持