云主机安全 - 基础篇

云厂商提供的按需按量付费的云主机,对中小企业、个人用户来说,其低成本、高可靠以及易管理性,是非常有吸引力的,但是,千万别忽视云主机面临的安全威胁 -- 公有云上庞大的云主机群,也是黑产持续关注的热点区域,今天我们来聊聊,从普通用户角度,有哪些办法可以快速提升云主机的安全性。

当你申请到一台云主机后,腾讯云会提供3个“安全利器”:

  1. 安全组
  2. 50G快照存储空间 - 截至目前还是免费的
  3. 专业主机安全产品-云镜 - 有免费版本

安全组作为第一个防护手段,它可以避免恶意攻击触达到你的云主机,可以认为它是你家的“大门”,是主机安全的第一道防线。当创建好云主机后,我们肯定需要远程登录云主机进行操作,这里我们可以利用安全组,对主机的远程端口进行访问控制,比如将我们经常使用的IP地址段添加至安全组,仅允许该地址段的IP访问主机,这种防御手段称之为白名单过滤,在创建云主机时,就可以进行安全组的配置,如下图:

安全组设置

详细的安全组设置案例与指引,可参考:

  • 腾讯云安全组限制高危端口对公网开放的方法
  • 腾讯云服务器如何设置安全组?
  • 腾讯云安全组学习笔记

不管云主机是遭遇木马后门、勒索病毒、还是漏洞攻击,防御的最佳实践就是定期对云主机进行快照,快照可理解为将云主机的操作系统、应用、以及相关数据备份至另外的存储空间,该存储空间独立于云主机,平台会保障其高可用性。当出现意外情况时,比如感染病毒、被勒索软件加密或者删除了数据,我们可以从快照中恢复之前备份的数据,从而减少损失。

快照设置

CVM快照相关案例与详解,可参考:

  • 快照是什么?揭秘存储快照的实现
  • CVM数据备份(快照+镜像)

最后一个,就是腾讯云提供的免费主机安全产品 - 云镜,云镜工作原理简单说,是在云主机内安装一个代理程序 - agent,由该agent实时监控云主机的安全状态,当发现病毒木马、异常登录以及高危漏洞时,会通过手机短信、站内消息等方式,第一时间向用户发出告警,并引导用户进行处置。用好云镜,我们可以更主动、及时的发现对云主机的攻击。这里提一下,云镜有功能更丰富的专业版,该版本是收费的,推荐企业用户使用,对于云镜的告警短信,请务必第一时间进行处理

云镜相关介绍与讲解视频:

  • 主机安全(云镜)产品 介绍
  • 主机安全(云镜)讲解视频

最后要特别提一下,登录密码问题,这里推荐使用,更安全的证书方式进行远程登录。如果仍坚持使用密码登录,请一定设置复杂密码,建议在创建主机时,选择自动生成密码,平台会生成足够复杂的唯一密码,通过站内短信发送到你的账号里,如下图:

自动生成密码

免密证书登录更安全,可参考:

  • CVM LINUX SSH配置最佳实践