别让服务器成‘敞门小店’
你有没有过这样的经历?网站突然打不开,后台日志疯狂刷屏,CPU直接飙到100%。一查发现,某个IP正用脚本不停请求登录接口,这就是典型的暴力破解。服务器一旦暴露在公网,就像开了一家24小时营业的小店,不设防,小偷自然盯上你。
其实,大多数攻击都不是高精尖的黑客技术,而是利用常见的疏忽。比如开放了不必要的端口、用了默认密码、没限制请求频率。这些漏洞,普通人也能动手解决。
从入口开始堵:防火墙和访问控制
最基础也最关键的一步,是配置好防火墙。Linux服务器上,iptables 或更友好的 ufw 都能帮你过滤流量。只开放必要的端口,比如80(HTTP)、443(HTTPS),其他像22(SSH)尽量限制来源IP。
ufw allow from 192.168.1.100 to any port 22
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable这样,只有你办公室或家里的固定IP才能连SSH,其他人连尝试的机会都没有。
防DDoS:限流才是硬道理
有人用几百台肉鸡同时刷你的首页,服务器瞬间瘫痪。这种分布式攻击靠单点防御很难扛住,但可以在Nginx层做初步拦截。
比如限制每个IP每秒只能请求10次:
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
server {
location /api/ {
limit_req zone=api burst=20 nodelay;
}
}burst=20 允许短时间内的突发请求,但总体不能超频。普通用户无感,机器人却会被卡住。
Web应用防火墙(WAF)不是摆设
SQL注入、XSS跨站脚本,这些老套路依然天天发生。用户提交一个表单,里面藏了 <script>alert(1)</script>,没过滤就存进数据库,下次管理员打开页面,cookie就被偷了。
用现成的WAF模块能省不少事。Cloudflare、阿里云都有免费WAF规则,Nginx也可以集成 ModSecurity。开启后,自动拦截常见攻击特征。
比如拦截包含 ‘union select’ 或 ‘../’ 的URL请求,虽然会误杀个别正常链接,但比起被拖库,这点代价值得。
及时更新,别图省事
很多人服务器装完系统半年不打补丁,PHP版本还是7.2,MySQL还是5.6。CVE漏洞公告天天出,你却还在用带洞的软件跑生产环境。
某次Log4j漏洞爆发,大批Java服务中招,只因一个日志组件没升级。其实修复方法就一行命令,但就是没人去执行。定期检查更新,不该是出事后的应急操作。
日志监控:早发现,早处理
服务器每天产生的访问日志、错误日志,不是用来凑数的。用简单的shell脚本就能实现异常检测:
#!/bin/bash
tail -n 1000 /var/log/nginx/access.log | grep "POST /login" | awk '{print $1}' | sort | uniq -c | awk '$1 > 5 {print $2}'这段代码找出最近1000条日志里,尝试登录超过5次的IP。结合crontab定时运行,发现异常直接封禁。
或者用更轻量的工具如 fail2ban,自动分析日志并封IP,比手动快得多。
备份永远不嫌多
再强的防御也可能被绕过。万一数据库被删,你能多久恢复?每天自动备份+异地存储是底线。不要只存在本地硬盘,那样服务器炸了,备份也跟着完蛋。
用 cron + rsync 或者对象存储API,把关键数据同步到另一个区域。哪怕被勒索加密,也能快速回滚,不至于跪着交赎金。