公有云运维安全常见四大难题及解决方案

一般情况下，您不必对RAM用户直接绑定授权策略，更方便的做法是创建与人员工作职责相关的群组（如admins、developers、accounting等），为每个群组绑定合适的授权策略，然后把用户加入这些群组。群组内的所有用户共享相同的权限。这样，如果您需要修改群组内所有人的权限，只需在一处修改即可。当您的组织人员发生调动时，您只需更改用户所属的群组即可。

将用户管理、权限管理与资源管理分离

一个好的分权体系应该支持权力制衡，尽可能地降低安全风险。在使用RAM时，您应该考虑创建不同的RAM用户，其职责分别是RAM用户管理、RAM权限权限、以及各产品的资源操作管理。

为用户登录配置强密码策略

如果您允许用户更改登录密码，那么应该要求他们创建强密码并且定期轮换。您可以通过RAM控制台为RAM用户创建密码策略，如最短长度、是否需要非字母字符、必须进行轮换的频率等等。

定期轮转用户登录密码和访问密钥

建议您或RAM用户要定期轮换登录密码或访问密钥。在您不知情的时候，如果出现凭证泄露，那么凭证的使用期限也是受限制的。您可以通过设置密码策略来强制RAM用户轮换登录密码或访问密钥的周期。

撤销用户不再需要的权限

当一个用户由于工作职责变更而不再使用权限时，您应该及时将该用户的权限进行撤销。这样，如果在不知情的时候，当用户的访问凭证泄露时对您带来的安全风险最小。

将控制台用户与API用户分离

不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码，给系统或应用程序只创建访问密钥。

使用策略限制条件来增强安全性

建议您给用户授权时设置策略限制条件，这样可以增强安全性。比如，授权用户Alice可以关停ECS实例，限制条件是Alice必须在指定时间、并且您公司网络中执行该操作。

不要为根账户创建访问密钥

由于根账户对名下资源有完全控制权限，所以为了避免因访问密钥泄露所带来的灾难性损失，我们不建议创建根账号访问密钥并使用该密钥进行日常工作。创建根账号的访问密钥需要通过登录阿里云控制台才能完成，该操作需要多因素认证，并且还支持严格的风控检查。只要根账户不主动创建访问密钥，账号名下的资产安全风险可控。

遵循最小授权原则

最小授权原则是安全设计的基本原则。当您需要给用户授权时，请授予刚好满足他工作所需的权限，而不要过渡授权。比如，在您的组织中，如果Developers组员（或者一个应用系统）的工作职责只需要读取OSS存储桶里的数据，那么就只给这个组（或应用系统）授予OSS资源的只读权限，而不要授权OSS资源的所有权限，更不要授予对所有产品资源的访问权限。

4. Linux使用密钥登录，不要使用账号密码登录，一劳永逸的解决账号暴力破解问题。具体配置方法如下：

Ubuntu 14.04.1为例，设置步骤如下：

一. 生成密钥的公钥和私钥

# ssh-keygen -t rsa  Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa):  Created directory '/root/.ssh'. Enter passphrase (empty for no passphrase): #输入密码 Enter same passphrase again:                #输入密码 Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is:               1c:37:a8:a3:65:a2:4a:89:ab:46:30:ad:54:d1:40:eb root@iZ28vo50eu5Z

二. 将生成的私钥（id_rsa）下载到本地的windows机器上，并把公钥导入到.ssh/authorized_keys 文件中去

#  cd /root/.ssh/

#cat id_rsa.pub > authorized_keys 

三. 设置sshd  服务器服务，打开以下设置：

RSAAuthentication yes 

PubkeyAuthentication yes

AuthorizedKeysFile      /root/.ssh/authorized_keys 

修改以下设置： 

ChallengeResponseAuthentication no 

PasswordAuthentication no 

UsePAM no 

四. 重启ssh服务

#service ssh  restart 

五. 导入私钥到远程工具中，比如xshell。

5. 可以修改ECS Windows 服务器的默认远程桌面3389端口，以降低针对远程桌面的恶意扫描和攻击。具体配置方法如下：

一.使用工具进行自动修改

您可以在云市场中购买和使用【3389远程端口修改工具】进行3389默认端口的自动修改。

二.手工修改：

1)【开始】----【运行】中输入"regedit"打开注册表编辑器;

2)依次展开"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp"注册表项;

3)其下的"PortNumber”键值所对应的端口号就是远程桌面端口，将其修改为用户需要的端口即可；

4)再依次展开注册表中"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp"注册表项;

5)同样按照上面的方法将"PortNumber"键值进行更改保存。

注意：修改后需要检查防火墙、tcp/ip筛选中是否有安全规则限制，并需要重启服务器后生效。

1)Windows 2003开启端口方法：

远程登陆服务器后，进入控制面板双击“windows防火墙”，打开防火墙后，点击“例外”选项卡可以看到服务器上已添加的开放端口，点击“添加端口”，在弹出的框中输入您需要添加的端口号，确定完成。再进入控制面板点击“网络连接”，在外网网卡上点击鼠标右键“属性”，并双击“Internet 协议 （TCP/IP）”，点击“高级”，在弹出的框中点击“选项”，点击“属性”，在TCP/IP筛选的弹出框中，添加TCP协议的端口，确定后重启服务器，端口就开通了。

2)Windows 2008 开启端口方法：

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!