全球主机交流论坛

标题: 在不暴露ip情况下，怎么保证服务器安全？ [打印本页]

作者: cyz971337 时间: 2023-10-10 12:53
标题: 在不暴露ip情况下，怎么保证服务器安全？
本帖最后由 cyz971337 于 2023-10-10 14:16 编辑

比如后端服务器内容极其重要，应该怎么弄才万无一失。
给后端机器套个服务器，设置只有前段服务器有权限访问后端服务器，前段每次访问后清除日志，这样前段被黑他也不知道有个后端服务器，这样是不是安全系数很高

Ps:
后端服务器放tg机器人，并不是网站，机器人的ip本来就是隐藏的

作者: 听风的歌 时间: 2023-10-10 12:54
关机如何？

作者: 路易的路 时间: 2023-10-10 12:55
互联网没有绝对的安全

作者: 随便起个名字 时间: 2023-10-10 12:55
只要提供服务，就没法避免，能做的只要有尽量少的服务并减少bug。

作者: offering 时间: 2023-10-10 12:56
后端服务器只允许白名单访问
内容从后端服务器生成静态页面，push到前端服务器，很多事业单位官网就是这么干的

作者: cyz971337 时间: 2023-10-10 12:58

offering 发表于 2023-10-10 12:56
后端服务器只允许白名单访问
内容从后端服务器生成静态页面，push到前端服务器，很多事业单位官网就是这么 ...

后端是个tg机器人，服务器里有usdt私钥。ip肯定不会暴露，就怕扫描或者误打误撞被黑了

作者: 糟糕的鲍勃 时间: 2023-10-10 13:03

cyz971337 发表于 2023-10-10 12:58
后端是个tg机器人，服务器里有usdt私钥。ip肯定不会暴露，就怕扫描或者误打误撞被黑了 ...

前端配置防火墙，然后反代后端，仅允许前端访问后端，后端做好防爆破之类的基本保证安全，但是没有绝对安全

作者: cyz971337 时间: 2023-10-10 13:14

糟糕的鲍勃发表于 2023-10-10 13:03
前端配置防火墙，然后反代后端，仅允许前端访问后端，后端做好防爆破之类的基本保证安全，但是没有绝对安 ...

只允许前端访问，那后端被爆破是不是也访问不了啊，没权限啊

作者: Celestine 时间: 2023-10-10 13:19
堡垒机，怕不安全就套两层

作者: 糟糕的鲍勃 时间: 2023-10-10 13:24

cyz971337 发表于 2023-10-10 13:14
只允许前端访问，那后端被爆破是不是也访问不了啊，没权限啊

我指的网站层面，如果你要说服务器层面，那就用centos7自带的防火墙配置只允许指定Ip访问，那样整个服务器都只能指定IP访问

作者: 民工三代 时间: 2023-10-10 13:26
想安全冷备份

作者: cyz971337 时间: 2023-10-10 13:27

糟糕的鲍勃发表于 2023-10-10 13:24
我指的网站层面，如果你要说服务器层面，那就用centos7自带的防火墙配置只允许指定Ip访问，那样整个服务 ...

只允许白名单ip，如果白名单没问题，是不是后端服务器就万无一失

作者: 糟糕的鲍勃 时间: 2023-10-10 13:28

cyz971337 发表于 2023-10-10 13:27
只允许白名单ip，如果白名单没问题，是不是后端服务器就万无一失

恩，基本可以这样说，但是这个是服务器层面的，你除非你能保证你网站层面100%没有漏洞

作者: cyz971337 时间: 2023-10-10 13:29

Celestine 发表于 2023-10-10 13:19
堡垒机，怕不安全就套两层

堡垒机作用是什么

作者: webjin 时间: 2023-10-10 13:31
没有绝对的安全

作者: chuanchuanlak 时间: 2023-10-10 13:33
本帖最后由 chuanchuanlak 于 2023-10-10 13:35 编辑

糟糕的鲍勃发表于 2023-10-10 13:24
我指的网站层面，如果你要说服务器层面，那就用centos7自带的防火墙配置只允许指定Ip访问，那样整个服务 ...

这个只是防止程序漏洞, 其实很多时候不安全都不是因为漏洞引起的

做到: 服务器用大厂的, 别用小公司, 因为小公司就算老板没有那种想法, 估计它对员工的权限策略也做不到那么细致

自身电脑和服务器上所有工具软件都全部要下载官方的, 不要下载个人做的或者修改版, 有可能会把你服务器的密码同时传给作者 (包括ftp软件, ssh软件, 代理软件等所有工具)

3. 不要随便用小公司的CDN, 因为CDN可以拦截获取你网站管理员的用户名和COOKIE

还有服务器的登录密码 ftp密码 mysql密码站点管理员密码一定不要设置成你在其它网站用的密码

什么是大厂? 阿里腾讯AWS微软云谷歌云等等...这种的, 宝塔算小厂不建议用

作者: ccloyc 时间: 2023-10-10 13:34
物理隔绝, 要用的时候拿U盘拷出来

作者: 糟糕的鲍勃 时间: 2023-10-10 13:34

chuanchuanlak 发表于 2023-10-10 13:33
这个只是防止程序漏洞, 其实很多时候不安全都不是因为漏洞引起的

做到: 服务器用大厂的, 别用小公司, 因 ...

哈哈，所以没有绝对的安全，

作者: Celestine 时间: 2023-10-10 13:34

cyz971337 发表于 2023-10-10 13:29
堡垒机作用是什么

堡垒机相当于是一个搭载了审计和权限管理系统的代理服务器，你的后端服务器配置为仅允许通过堡垒机连接。通过堡垒机连接后端会详细记录访问者是谁，什么时候连接的服务器，干了啥等等

如果你是用于保护网站后端安全，可以考虑搭建负载均衡或自建CDN

作者: cyz971337 时间: 2023-10-10 13:38

糟糕的鲍勃发表于 2023-10-10 13:28
恩，基本可以这样说，但是这个是服务器层面的，你除非你能保证你网站层面100%没有漏洞 ...

是个tg机器人，前端是电报官方，没人知道ip

作者: cyz971337 时间: 2023-10-10 13:42

chuanchuanlak 发表于 2023-10-10 13:33
这个只是防止程序漏洞, 其实很多时候不安全都不是因为漏洞引起的

做到: 服务器用大厂的, 别用小公司, 因 ...

后端放的电报机器人，没有人知道ip，你意思机器人程序漏洞也有可能被利用？
我主要防止误打误撞黑进来的人，想直接通过机器人黑不可能吧，因为ip是隐藏在电报后面了

作者: cyz971337 时间: 2023-10-10 13:43

Celestine 发表于 2023-10-10 13:34
堡垒机相当于是一个搭载了审计和权限管理系统的代理服务器，你的后端服务器配置为仅允许通过堡垒机连接。 ...

堡垒机比前端套个普通服务器，有什么用优势呢

作者: chuanchuanlak 时间: 2023-10-10 13:47

offering 发表于 2023-10-10 12:56
后端服务器只允许白名单访问
内容从后端服务器生成静态页面，push到前端服务器，很多事业单位官网就是这么 ...

这种都是防止入侵的, 如果服务器上用的软件工具本身有后门, 作者不需要登录服务器, 直接把数据库后台打包成zip再自动用邮件一个一个发给他指定的邮箱里

作者: hc313 时间: 2023-10-10 13:48
所谓的网闸可以来一套。

作者: rw1024 时间: 2023-10-10 14:13
用户->前端机->中转机->后端处理数据->中转机渲染->前端机返回html

作者: ayue168 时间: 2023-10-10 14:15
搂在被窝里?

作者: offering 时间: 2023-10-10 14:20

cyz971337 发表于 2023-10-10 12:58
后端是个tg机器人，服务器里有usdt私钥。ip肯定不会暴露，就怕扫描或者误打误撞被黑了 ...

真怕可以把tg的所有ip拉到白名单，然后不允许其他IP访问，我记得可以找到tg的所有ip的

欢迎光临全球主机交流论坛 (https://4414.19990909.workers.dev/)