阿里云购买安全中心企业版,你要是钱多还可以买云防火墙、Web 防火墙等。
非阿里云或并不想为安全额外花钱,首先及时更新自己的系统和应用;如果是 Web 方面的,尝试用 Docker 并采用 --read-only 模式启动容器,上传和临时目录用 --volume 指定或映射,Nginx 对上传目录设为不转发直接输出静态文件(如果对上传文件没有自己额外的过滤层),用 iptabels 限制入方向只有 22、80、443 等你必需的端口。
这样的话,即使您的 web 程序有问题,也改不了程序,而万一通过上传目录上传了 php,jsp,asp 等可被 web 服务执行的文件,也没法执行。但是,还要小心哦,虽然不能在你服务器执行 webshell,但还可以上传一堆不良内容的图片、音频、视频、网页、PDF 等,然后他用其他肉鸡弄个站,资源都链到你站上。不谈占你带宽,按现行法规,你也说不清。
以上措施虽然保障 web 系统的程序/文件安全,如果您用到了数据库、读写系统文件、执行外部命令等,在防注入方面也要多加关注,阿里云有这方面的安全服务,防火墙、云 DNS 等都可以防住大部分注入扫描;关键还是自己的程序要避免漏洞 —— 打铁还需自身硬。
看你的标签上还有个 DDoS,各类安全 DNS 基本都能防住,比如上面提到的阿里云的云 DNS,还有百度云加速等,这些产品/服务可以单独用,免费或花一点点钱,也并不一定要购买他们的云服务器服务。不过,如果对方是针对性的,找到了你的真实 IP,依然可以绕过那些 DNS 对你发起攻击哦。
与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…
