Guía de protección de seguridad del servidor proxy autoconstruido (cortafuegos/supervisión de registros)

Te enseñamos a poner chalecos antibalas en tu propio servidor proxy

搞代理服务器的老铁们最怕啥？辛辛苦苦搭的服务器被人当公共厕所随便上。今天咱们就唠唠怎么给自家服务器上锁，重点说说防火和日志监控这两大护法。

防火不是铁栅栏得会认人

很多人以为开个防火就万事大吉，其实跟没锁大门差不多。以Linux系统为例，No se puede abrir un puerto sin más. Hay que jugar con la lista negra y blanca.. Se recomienda cambiar puertos comunes como 22 y 80 a números fríos, como cambiar el puerto SSH de 22 a un número aleatorio como 52488.

 Ejemplo de lista blanca con iptables
iptables -A INPUT -p tcp --dport 52488 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 52488 -j DROP

He aquí un escollo con el que hay que tener cuidado:Nunca utilices la combinación mortal de puerto+contraseña por defectoHe visto a gente configurar el puerto proxy a 8080 con una contraseña débil. He visto a gente configurar el puerto proxy a 8080 con una contraseña débil, sólo para ser violado en tres días.

El registro es como comprobar las grabaciones de seguridad.

Los logs no sirven para ocupar el disco duro, hay que mirarlos todos los días. Se recomienda utilizar una herramienta como GoAccess para analizarlo en tiempo real, centrándose en estas señales:

He visto el caso más extremo: el departamento de operaciones y mantenimiento de una empresa descubrió que a las 3 de la mañana había una IP vietnamita que se conectaba, comprobó la monitorización y descubrió que era un competidor rastreando datos.

La IP proxy debería ser invisible como un camaleón.

Auto-construido proxy es el más dolor de cabeza IP bloqueada, aquí se recomienda utilizarIP residencial dinámica para ipipgoLo primero que me gustaría hacer es sacarles el máximo partido. Su grupo de IP se cambia automáticamente cada día, y se ha comprobado que puede utilizarse de forma continuada durante una semana sin provocar un bloqueo. Es fácil de configurar:

 Python usando ipipgo proxy ejemplo
importar peticiones

proxies = {
    'http': 'http://user:pass@gateway.ipipgo.io:9021',
    https: http://user:pass@gateway.ipipgo.io:9021
}

response = requests.get('https://api.example.com', proxies=proxies)

La clave está enAjuste del periodo de conmutación automáticaSe recomienda cambiar un lote de IPs cada 5 minutos para grandes negocios. ipipgo background puede ser configurado para cambiar inteligentemente la estrategia, lo cual es mucho más libre de problemas que cambiar manualmente.

Control de calidad práctico

Q：防火规则设了还是不保险咋整？
A：上双重防护，把云平台自带的安全组和系统防火分开设置，规则不要重复。比如在阿里云安全组开8000-9000端口范围，系统防火再细化到具体端口。

P: ¿Cómo puedo ver que el archivo de registro es demasiado grande?
R: utilizar logrotate dividir automáticamente los registros, con ELK suite de tres piezas. Emergencia directamente grep para atrapar palabras clave: "Contraseña fallida" para encontrar la explosión, "GET /wp-admin" para evitar que los rastreadores.

P: ¿Qué pasa si la IP de ipipgo está bloqueada por error?
R: Tienen una función de tecnología negro, en el punto central de usuario "encubrimiento de emergencia", dentro de los 30 segundos se actualizará toda la piscina IP. La última vez que tuvimos un proyecto desencadenó el control del viento de la plataforma, con este truco inmediatamente lleno de sangre resurrección.

Esto de vigilar es como tener una mascota electrónica a la que tienes que vigilar y alimentar todos los días. Recuerda.No existe un escudo irrompible, sólo un maestro irrompible.. Configurarlo bien como se ha descrito anteriormente para al menos defenderse de 90% ataques normales. Deja el resto de 10% a los profesionales como ipipgo para el bolsillo.