内将本机IP设置为黑名单
,通过测试发现在本地访问网站就提示错误信息
IP白名单设置可以通过设置一些值得信赖IP地址
为白名单地址,从而使它们能够顺利的访问网站,用户可以点击“启用”选项开启白名单功能,不要忘了设置好后需要保存
规则列表,可以新增、修改、删除禁止访问IP段及对应的网站规则
具体设置和设置后
可以点击“修改”和“删除”对规则进行修改
将一些常见的网络爬虫
设置成白名单,这样就不会再拦截爬虫了
在默认设置中已经有添加了一些爬虫白名单,用户同时可以在“新增”和“删除”选项中添加一些自己需要的爬虫和删除一些没用的爬虫。
IP黑名单是相对白名单进行设置的,目的是为了通过设置一些不良IP地址为黑名单地址,从而限制它们访问网站。需要先开启防护功能列表中的监控设置才能正常启动,同时点击“启用”后要记得保存修改
同样IP黑名单也是采用由指定IP和子网掩码
来划分IP地址,设置方法和IP白名单的设置是一样的,用户可以通过“新增” ,“修改” ,“删除”修改规则列表
当被禁止IP访问用户的网站时,服务器就会返回信息,这个信息可以根据自己的情况进行设置
建议你好好学学linux基础,具体要怎么设置?
ssh得知道吧?
SSH(Secure Shell)是一种能够提供安全远程登录会话的协议,也是目前远程管理Linux系统最首选的方式,因为传统的ftp或telnet服务是不安全的,它们会将帐号口令和数据资料等数据在网络中以明文的形式进行传送,这种数据传输方式很容易受到黑客“中间人”的嗅探攻击,轻则篡改了传输的数据信息,重则直接抓取到了服务器的帐号密码。
想要通过SSH协议来管理远程的Linux服务器系统,咱们需要来部署配置sshd服务程序,sshd是基于SSH协议开发的一款远程管理服务程序,不仅使用起来方便快捷,而且能够提供两种安全验证的方法——基于口令的安全验证,指的就是咱们一般使用帐号和密码验证登陆,基于密钥的安全验证,则是需要在本地生成密钥对,然后将公钥传送至服务端主机进行的公共密钥比较的验证方式,相比较来说更加的安全。
因为在Linux系统中的一切都是文件,因此要想在Linux系统中修改服务程序的运行参数,实际上也是在修改程序配置文件的过程,sshd服务的配置信息保存在/etc/ssh/sshd_config文件中,运维人员一般会把保存着最主要配置信息的文件称为主配置文件,而配置文件中有许多#(井号)开头的注释行,要想让这些配置参数能够生效,咱们需要修改参数后再去掉前面的井号才行,sshd服务配置文件中重要的参数包括有:
# 是否允许空密码登陆(很不安全)在红帽RHEL7系统中sshd服务程序已经默认安装好并启动了,咱们可以使用ssh命令来进行远程连接,格式为“ssh [参数] 主机IP地址”,退出登陆则可执行exit命令:
[root@linuxprobe ~]# ssh 1921681020The authenticity of host '1921681020 (1921681020)' can't be established
ECDSA key fingerprint is 4f:a7:91:9e:8d:6f:b9:48:02:32:61:95:48:ed:1e:3f
Are you sure you want to continue connecting (yes/no) yes
Warning: Permanently added '1921681020' (ECDSA) to the list of known hosts
root@1921681020's password:此处输入远程主机root用户的密码
Last login: Wed Apr 15 15:54:21 2017 from 1921681010
[root@linuxprobe ~]#
[root@linuxprobe ~]# exit
logout
Connection to 1921681010 closed
咱们可以尝试不让超级管理员root用户远程登陆到sshd服务上,这样一方面能提高服务器被黑客暴力破解密码的机率,也能让同学们锻炼下对服务程序的配置能力,首先咱们需要使用vim文本编辑器打开sshd服务的主配置文件,然后将第48行#PermitRootLogin no参数前的#号去掉,并将yes改成no,这样就不再允许root用户远程登陆了,最后记得保存并退出文件即可,修改后的参数如下:
[root@linuxprobe ~]# vim /etc/ssh/sshd_config………………省略部分输出信息………………
46
47 #LoginGraceTime 2m
48 PermitRootLogin no
49 #StrictModes yes
50 #MaxAuthTries 6
51 #MaxSessions 10
52
………………省略部分输出信息………………
不要忘记一件重要的事情,一般的服务程序并不会在咱们修改配置文件后就立即获取到了最新的运行参数,如果想让新的配置文件起效,咱们需要手动的重启一下服务程序才行,并且最好也能将这个服务程序加入到开机启动项中,这样使得下一次重启时sshd服务程序会自动运行。
[root@linuxprobe ~]# systemctl restart sshd
[root@linuxprobe ~]# systemctl enable sshd
超级管理员root用户再来尝试连接sshd服务程序就会提示不可访问的错误信息了,虽然sshd服务程序的参数相对比较简单,但这就是Linux系统中配置服务程序的正确方法,同学们只要能做到活学活用,那即便以后遇到了没见过的服务也一样能够配置了~
[root@linuxprobe ~]# ssh 1921681010
root@1921681010's password:此处输入远程主机root用户的密码
Permission denied, please try again
挂载到 Amazon EC2 实例后,Amazon EFS 文件系统会提供标准文件系统界面和文件系统访问语义,让您可以将 Amazon EFS 与现有应用程序和工具无缝集成。多个 Amazon EC2 实例可以同时访问 Amazon EFS 文件系统,因而 Amazon EFS 可以为在多个 Amazon EC2 实例上运行的工作负载和应用程序提供相同的数据源。
您可以在使用 AWS Direct Connect 连接 Amazon VPC 时,将 Amazon EFS 文件系统挂载到本地数据中心服务器。您可以将 EFS 文件系统挂载到本地服务器,从而将数据集迁移到 EFS、启用云爆发场景或将本地数据备份到 EFS。
Amazon EFS 不仅设计可实现高可用性和耐久性,还适用于各种使用案例,包括 Web 和内容服务、企业应用程序、媒体处理工作流程、容器存储以及大数据和分析应用程序。
优势:无缝支持NFSv4,无缝实现对文件系统存储容量扩展和缩减,省去了部署和维护工作,多个EC2可以同时访问一个Amazon EFS文件系统,许多用户可以访问和共享共同的数据来源。采用SSD作为存储介质提高了吞吐量、IOPS和低延迟。
使用流程:
1、Configure file system access
指定可访问EFS的EC2所在的VPC,EFS通过创建挂载点的方式对外提供访问,支持多挂载点(在多个地域起了多个实例,支持跨地域能力)
2、Configure optional settings
对EFS打标签以及选择类型,支持通用能力以及高性能盘两种
3、Review and create
检查配置和创建文件系统,创建成功后结果如下(因只在区域ap-southeast-2a有ec2实例,所以只创建了一个挂载点):
文件系统挂载点创建好后,返回一个访问的DNS,DNS命名规则为
创建好挂载点后,EFS支持ec2访问已经打通网络的私有服务器访问
EC2挂载:
私有服务器挂载:
挂载efs的ec2实例必须添加与efs同样安全组才能够挂载访问
使用root登录et2实例后(刚创建的ec2实例用ubuntu登录,登录后sudo passwd root创建root账户),执行挂载命令
在区域A的vpc里的私有子网中的服务器(不能被互联网访问),去访问另外一个区域B的的私有网络的服务器(同样不能被互联网访问)这时候,就需要 对等链接
说明
说明
说明
对等链接创建完后,还不能直接通信,需要各有条路由互相指向该如何访问
说明
3、在路由详情中,选择tab 路由 点击 编辑路由
4、添加路由,目标网段填指向 俄亥俄州 的vpc网段 19216800/16 , 目标方式,选 peering connection , 然后选刚才创建的 对等链接
5、回到路由详情,在tab 子网关联 中,点击编辑子网关联,勾选vpc下的私有子网
6、切换到 俄亥俄州 做同样 *** 作
我们最终是要访问 加利佛尼亚北部 vpc中的子网服务器,需要创建个安全组,仅允许 SSH 和 ICMP 访问
在两个区域的vpc中,私有网络下,各创建一台EC2, 俄亥俄州 的vpc还需要创建一台公网的 堡垒机 ,不然私网的EC2就进不去了
说明
从 俄亥俄州 的vpc中的私有子网中的ec2,ping 加利佛尼亚北部 vpc的私有子网中的ec2, 也就是 19216800 网段ping 1721600 网段
两个区域的ec2都在私有子网内,互联网是访问不了的,所以需要通过 堡垒机 访问其中一台ec2。
本文重点是在实现vpc间通过对等链接来时间的访问,很多 *** 作是基于 创建vpc私有子网 的 *** 作上,所以需要参考我的另外一篇文章 《在AWS上搭建VPC三层架构的私有网络》 。最后可能会ping通的情况,这时候就需要检查两个区域的路由,确定指向和网段没有填写错误
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)