云主机安全 - 基础篇

云厂商提供的按需按量付费的云主机，对中小企业、个人用户来说，其低成本、高可靠以及易管理性，是非常有吸引力的，但是，千万别忽视云主机面临的安全威胁 -- 公有云上庞大的云主机群，也是黑产持续关注的热点区域，今天我们来聊聊，从普通用户角度，有哪些办法可以快速提升云主机的安全性。

当你申请到一台云主机后，腾讯云会提供3个“安全利器”:

1. 安全组
2. 50G快照存储空间 - 截至目前还是免费的
3. 专业主机安全产品-云镜 - 有免费版本

安全组作为第一个防护手段，它可以避免恶意攻击触达到你的云主机，可以认为它是你家的“大门”，是主机安全的第一道防线。当创建好云主机后，我们肯定需要远程登录云主机进行操作，这里我们可以利用安全组，对主机的远程端口进行访问控制，比如将我们经常使用的IP地址段添加至安全组，仅允许该地址段的IP访问主机，这种防御手段称之为白名单过滤，在创建云主机时，就可以进行安全组的配置，如下图：

安全组设置

详细的安全组设置案例与指引，可参考：

• 腾讯云安全组限制高危端口对公网开放的方法
• 腾讯云服务器如何设置安全组？
• 腾讯云安全组学习笔记

不管云主机是遭遇木马后门、勒索病毒、还是漏洞攻击，防御的最佳实践就是定期对云主机进行快照，快照可理解为将云主机的操作系统、应用、以及相关数据备份至另外的存储空间，该存储空间独立于云主机，平台会保障其高可用性。当出现意外情况时，比如感染病毒、被勒索软件加密或者删除了数据，我们可以从快照中恢复之前备份的数据，从而减少损失。

快照设置

CVM快照相关案例与详解，可参考：

• 快照是什么？揭秘存储快照的实现
• CVM数据备份（快照+镜像）

最后一个，就是腾讯云提供的免费主机安全产品 - 云镜，云镜工作原理简单说，是在云主机内安装一个代理程序 - agent，由该agent实时监控云主机的安全状态，当发现病毒木马、异常登录以及高危漏洞时，会通过手机短信、站内消息等方式，第一时间向用户发出告警，并引导用户进行处置。用好云镜，我们可以更主动、及时的发现对云主机的攻击。这里提一下，云镜有功能更丰富的专业版，该版本是收费的，推荐企业用户使用，对于云镜的告警短信，请务必第一时间进行处理。

云镜相关介绍与讲解视频：

• 主机安全（云镜）产品 介绍
• 主机安全（云镜）讲解视频

最后要特别提一下，登录密码问题，这里推荐使用，更安全的证书方式进行远程登录。如果仍坚持使用密码登录，请一定设置复杂密码，建议在创建主机时，选择自动生成密码，平台会生成足够复杂的唯一密码，通过站内短信发送到你的账号里，如下图：

自动生成密码

免密证书登录更安全，可参考：

• CVM LINUX SSH配置最佳实践