Server 端有装防火墙的必要吗？

你这情况有防火墙也防不了默认密码不修改啊

@henryzhou 哈哈，批评的好，当初用的时候没仔细看，Tomcat默认了那么多用户。。只是在想有防火墙可以应对其他的一些情况，比如限制端口，限制IP range等等，虽然AWS也有相关的monitor system和alarm，但感觉不是很有效，默默的就scale了说

硬件软件都有各自适合的情况
抗DoS或者服务器流量大的话肯定硬件是少不了的，软防的话多半顶不住
但是不是说有了硬防软防就不需要了
软防比硬防灵活的多，可以根据应用层的情况控制（比如密码错误次数）
在没有攻击的时候，软防的成本非常低
但是无论哪种，防火墙毕竟只是安全的一部分，而服务器安全永远是木桶。
能不用的服务全关掉，能不开的端口全不开，多一事不如少一事

只是做了iptable简单防护。。。

简单的防护的话 iptables 或者 ufw 即可

改端口，禁用密码登录，一次性密码什么的随便弄弄基本防住多数的批量抓鸡

fail2ban吧

默认密码的解决方案就是：










下之前把ssh关了，然后 用再发tk给机房开ssh

Quote: 如何保护你的Linux VPS的安全：
http://segmentfault.com/blog/reeco/1190000002585483

刚想发，发现被楼上发了

装个denyhosts 一了百了 轻松抵御ssh暴力破解

@shixinyu 这是机翻的吧

@ikaros 人肉翻的，不过只花了一天时间，建议还是看原文

@reeco 翻译的太过于纠结原来的意思了

@reeco 是你翻译的么,知道得这么清楚 （: 想起写了两周的论文给老师看了之后问我的第一个问题:你这是机翻的吧?

@ikaros 注意url，用户名都一样
@reeco 如果有些句子怎么翻都不顺，把主谓倒过来会有很好的效果

防火墙不是万能的，不要把防火墙当成自己惰性的挡箭牌，防火墙的基本功能是控制哪些IP的哪些端口可以从哪张网卡的哪些端口访问进来；所谓的防DDOS、防暴力破解等功能都是附加的，只应该在极端情况下才发挥作用。
所以你的问题不是用不用防火墙，而是如何提升系统安全性，习惯为首，大多数骇客都是利用社会工程学来进行入侵的，如果你的习惯不好，攻下你的系统只是时间问题（有可能连时间都不成问题）。

几条拙见：
1.使用软防火墙（iptables/CentOS7 firewall）开白名单，只开放必用的端口。
2.密码使用强密码，不同用户的密码不得一样。登陆使用SSH Key，并为SSH key设置密码。
3.服务不要跑在管理用户上，只给服务用户必需的权限。

另外有一个技巧，如果预算足够的话，建议非公网服务只跑在局域网里，外网访问不到，只给公网服务配置公网IP，但是将所有的公网服务器的SSH端口配置为只允许内网访问，然后专门配置一台最低配的公网服务器作为SSH跳板机，如果想访问任何一台服务器都要先登陆跳板机，然后再使用内网IP（建议配置好hostname）SSH到任意一台服务器上。好处由于没有人知道跳板机的存在，所有服务器又不开放公网SSH端口，所以无处下手；缺点是使用SCP的话就只能先上传到跳板机再从跳板机传到目标主机，不过也可以临时在跳板机上开SSH隧道。