这是一个创建于 236 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景:我属于是甲方公司,技术兼运维。开发公司技术不够,咱也不知道是关系还是啥。总共有三台服务器,
1 台服务器跑的是后端服务+nginx ;
1 台跑的是中间件:redis 、mysql 、elasticsearch ;
1 台跑的是聊天组件。
以上服务全都用 docker 跑的,没错~都是用 docker-compose 运行的。端口开发的一塌糊涂,ssh 、mysql 、redis 、elasticsearch 、kibana 端口全在公网暴露,其中 redis 、elasticsearch 、kibana 没有密码就可以连接。
我想给他重构一下,我技术也很菜,下面是我想的方案,想请大家给帮忙指教一下~
看了好多帖子,大部分都是说 VPN 和堡垒机什么的,我也不会用这些~
我想的安全配置是:
1. 公网端口全部禁用掉(只留 im 服务和 nginx 服务端口),其他全部走阿里云的主私网 IP172 。期间可能要远程连接 mysql ,如果开放 mysql 公网端口的话那就把自己的 IP 地址设置到网络安全组的白名单中;
2. ssh 禁止密码访问,设置秘钥访问。新建一个普通用户,执行命令用 sudo ;
3.ssh 公网端口设置 ip 白名单,然后用 fail2ban ,设置错误 3 次就 denyIp 。
以上就是我想的方案,水平有限,所以想请教一下大家~希望大家不吝赐教。公司有说堡垒机,但是我不会用。堡垒机有作用的话我会去学
1 台服务器跑的是后端服务+nginx ;
1 台跑的是中间件:redis 、mysql 、elasticsearch ;
1 台跑的是聊天组件。
以上服务全都用 docker 跑的,没错~都是用 docker-compose 运行的。端口开发的一塌糊涂,ssh 、mysql 、redis 、elasticsearch 、kibana 端口全在公网暴露,其中 redis 、elasticsearch 、kibana 没有密码就可以连接。
我想给他重构一下,我技术也很菜,下面是我想的方案,想请大家给帮忙指教一下~
看了好多帖子,大部分都是说 VPN 和堡垒机什么的,我也不会用这些~
我想的安全配置是:
1. 公网端口全部禁用掉(只留 im 服务和 nginx 服务端口),其他全部走阿里云的主私网 IP172 。期间可能要远程连接 mysql ,如果开放 mysql 公网端口的话那就把自己的 IP 地址设置到网络安全组的白名单中;
2. ssh 禁止密码访问,设置秘钥访问。新建一个普通用户,执行命令用 sudo ;
3.ssh 公网端口设置 ip 白名单,然后用 fail2ban ,设置错误 3 次就 denyIp 。
以上就是我想的方案,水平有限,所以想请教一下大家~希望大家不吝赐教。公司有说堡垒机,但是我不会用。堡垒机有作用的话我会去学
 |
1
Tyuans 236 天前
堡垒机更多的是对内吧,人员分权限,操作审计等。基本都不复杂。如果有条件,尽量弄一个堡垒机。
|
Select Language