var
来源:景安IDC资讯作者:小李发布时间:2015-05-25点击:4667
云服务器安全作为一种最新的云计算技术产品,与以往的服务器一样,有着一定的安全隐患,这就需要我们能够了解一些常见服务器攻击方式,以及掌握不同的云服务器攻击方式相对应的安全策略及解决方法,只有这样才能够更好保障我们的云服务器的安全。
常见云服务器攻击方式:
计时攻击:在同SSH服务器建立连接时,有各种不同的对用户输入进行加密的算法。由于大部分的加密选项都需要花费相当的时间来执行,攻击者可以利用计时信息来获取关于系统的额外信息,比如该系统当前的用户数量。
密码暴力攻击:攻击者可以对那种面向互联网,可以从Web任何地方访问的SSH服务器发起暴力或者字典攻击。如果能够成功精确的破解root用户的密码,黑客可以获得完全的服务器访问权限。
服务拒绝攻击:在DoS攻击中,攻击者可以对SSH服务器产生多个并发会话,这将需要大量的服务器资源。SSH可能变得无法访问,线程数偏低,由于那些耗时的用于数据交换的压缩和加密算法。
云服务器安全策略及攻击解决方法
双因素认证(2FA):SSH服务器可以通过PAM模块或者DuoUnix来启用2FA。这两种认证选项都需要密码或者证书同一个电话获取的安全令牌一起使用。SSH密钥管理:企业可以考虑使用UniversalSSHKeyManager,具备一些高级功能,如获取哪个用户能够对一个资源进行访问这样的信息,注销老的证书,签发新的证书等。
TCPWrapper:该程序可以被用来指定一个允许或者拒绝对SSH服务器访问的IP列表,通过使用/etc/hosts.allow和/etc/hosts.deny文件。一个好的安全实践是将你自己的IP地址添加到/etc/hosts.allow中以防止自己被锁在服务器外不能访问。
配置选项:SSH默认就是安全的协议,但是仍然有些配置选项可以强化SSH的安全性。与SSH守护进程相关的最常用的安全选项在信息安全资源的一篇贡献文章中有详细的解释。
DenyHosts:该脚本允许企业监控无效的登录尝试并阻止身份验证请求来源的IP地址。这项保护可以通过如apt-get这样的包管理器来安装DenyHosts包来开启。然后,配置/etc/denyhosts.conf文件并修改SMTP设置,允许在阻止某些IP地址时发送邮件给管理员。
单数据包认证与授权:该技术不需要在一个分组报头里嵌入秘密信息,而是在一个分组净荷中。在发起一个端口敲击顺序前,先同服务器建立一个安全的加密通信信道以防止重放攻击。由于数据包永远不会相同,所以这种方法是有效的,随机性的适当措施是在连接建立的时候做到的。因此,即使一个攻击者能够sniff在端口敲门中每个交换的数据包,他/她也将不能重放。这个选项使用起来也更安全,因为通常在端口敲门中发送的数据包和端口扫描攻击的看起来不一样,所以防火墙不会阻隔他们。
端口敲门:公有云通常可以从互联网的任何地方都访问到,这使得他们容易受到各种各样的SSH攻击。这当然可以通过禁用SSH服务来防止,但是这样也无法使用SSH来管理服务器了。端口敲门是一项和防火墙一起使用的技术,在收到一个特殊的端口敲击顺序后再开启指定的端口。它使用数据头同服务器交换隐秘信息,打开一个指定的端口。隐秘敲门暗号被封装成一组有序的端口,并且需要发送SYN包来验证有效性。当对任意端口的SYN包的正确顺序被接收到时,客户端才会被允许访问该端口。这种方法很有局限性,因为这是一种隐晦式安全的实现,并且攻击者仍然可以暴力攻击SYN包需要发送的端口顺序。
其他攻击,如分组中继攻击,也有可能并且可以击败端口顺序端口敲门的安全性措施。这是由于发送给远程服务器的数据包总是相同的,要sniff和重放它们很容易。
由于云计算技术的兴起,越来越多公司企业及一些组织都已经搭建自己的公有云服务器,虽然,企业上云是时代的要求和必须的,但是,因为公有云的公有性,导致云服务器的安全问题也受到前所未有的考验,所以,公有云服务器的运营及维护管理者必须掌握一定的云服务安全知识,才能够更好保障云服务器的安全。云服务器,快云存储,快云数据库等安全高效云服务。
版权声明:本文系技术人员研究整理的智慧结晶,转载勿用于商业用途,并保留本文链接,侵权必究!