【安全警示】佬友们千万千万不要随意公开对外暴露端口
- 内容介绍
- 文章标签
- 相关推荐
佛法上有大量公开可访问的 openclaw 配置文件,除了暴露 APIkey 会导致财产损失以外,还有大量暴露的公司项目、法院文件、个人隐私资料等,还见到疑似佬友的 cpa 配置,注意千万千万不要暴露过多的公开端口
示例如图:
image2560×1283 198 KB
你应该检查:
- 运行
sudo ss -tunlp命令,查看目前 linux 上绑定了哪些公开端口
其中0.0.0.0:Port和[::]:Port就是你公开暴露在公网的端口,如果是普通程序,请使用 ufw/iptables/nftables 关闭对应端口;如果是 docker 程序,请在compose.yml中不要使用host类型网卡,以及让端口监听127.0.0.1;如果使用的是大厂服务器,请使用安全组来管理你的端口。切记不要开放所有端口,这非常危险 - 关闭端口后你应该如何安全访问
- 对于无需暴露公网,仅个人使用的端口,比如
OpenClaw Control面板,你应该使用 SSH 端口转发ssh -L 本地端口:目标主机:目标端口 用户名 @SSH 服务器,如果使用带 GUI 的 SSH 客户端应该会更容易配置端口转发
image1931×1279 113 KB
如果有能力,也可以使用 tailscale/easytier 组建虚拟局域网,这样更安全 - 对于需要暴露公网,作为小范围或大范围分享使用,请使用 nginx 进行反向代理端口,而不是直接暴露端口,并配置好限流和相关规则,尽可能使用 cloudflare 等 CDN 进行分发,控制分发内容合理且可控
- 对于 openclaw,之前折腾了一个多星期,这个服务本身应该无需暴露任何端口,包括 TCP 和 UDP,所以可以一刀切直接禁止 openclaw 监听的任何端口入站
附带服务器安全参考手册
VPS基本安全措施 开发调优前言 当我们拿到 VPS 之后,我们都需要做些什么呢? 如果选择将网站 / 服务放在知名厂商虚拟主机上,虚拟主机的厂商会负责基本的服务器安全措施。但如果放在 VPS 上,那么你就是服务器的安全负责人了。更多的权限代表着更多的义务,VPS 在具有更高的自由度的情况下自然有更高的风险。而我们要做到的不是绝对安全,而是比大多数人安全。 只要做到没那么容易被攻破那就是胜利。 本文使用的环境为 Ub…
欢迎佬友们补充
网友解答:--【壹】--:
想起还有个gpt-load的docker还是暴露公网的 当时gemini打野还是勃勃生机万物竞发
--【贰】--:
你家大门常打开
--【叁】--:
只是专业建站人的常识,大多数普通建站人都不做防护的。
--【肆】--:
我也是
呢
--【伍】--:
感谢提醒
--【陆】--:
同理, 反正机子也就用来访问外网, ssh也是16位特殊符合密码
--【柒】--:
感谢分享
sudo ss -tunlp 查暴露外网固然有用, 但有火墙而且对应的端口未开的话并不是大问题。
反代应该只是佛法扫起来困难一些,但仍然有被扫到的可能。更好的办法是用ssh 隧道映射到本地。
--【捌】--:
从查到的结果来看,并非常识
--【玖】--: shufu.yes:
特别是海外运营商的 都是直接开放所有端口
防火墙弄一下就好了
--【拾】--:
欢迎光临!
--【拾壹】--:
也是, 有安全意识的开发都不是非常普遍
--【拾贰】--:
扫端口都是自动化脚本扫的,这个你正常用 ssh 强密码或者密钥就行,如果是网站目录最好上 waf,能拦截很多
这是我做的扫 SSH 的展示
ttyd - Terminal
--【拾叁】--:
我一上来就是1-65535全开。
--【拾肆】--:
我用tailscale,大家可以试试,不难,我是新手
--【拾伍】--:
图里的示例是什么服务呀
--【拾陆】--:
但..这不是常识吗
--【拾柒】--:
现在说实话做安全视频和科普的人比较少,做了也没大有人看。一堆项目教学视频一上来就叫人开放端口关闭防火墙,看了也确实无语
--【拾捌】--:
我之前装 openclaw 的时候,用内置的飞书插件。它和我说飞书要配回调 url 接收消息,就自己写了一个 python web 服务器,让我想办法放到公网上。
一直没发现有啥不对,后面换飞书的插件才发现,飞书机器人可以用 websocket 通信
--【拾玖】--:
好多人一直在扫各种服务器+端口的, 攻击都是这样的。特别是海外运营商的 都是直接开放所有端口。。一般我也不会在海外服务器的vps上跑敏感服务了,怕
佛法上有大量公开可访问的 openclaw 配置文件,除了暴露 APIkey 会导致财产损失以外,还有大量暴露的公司项目、法院文件、个人隐私资料等,还见到疑似佬友的 cpa 配置,注意千万千万不要暴露过多的公开端口
示例如图:
image2560×1283 198 KB
你应该检查:
- 运行
sudo ss -tunlp命令,查看目前 linux 上绑定了哪些公开端口
其中0.0.0.0:Port和[::]:Port就是你公开暴露在公网的端口,如果是普通程序,请使用 ufw/iptables/nftables 关闭对应端口;如果是 docker 程序,请在compose.yml中不要使用host类型网卡,以及让端口监听127.0.0.1;如果使用的是大厂服务器,请使用安全组来管理你的端口。切记不要开放所有端口,这非常危险 - 关闭端口后你应该如何安全访问
- 对于无需暴露公网,仅个人使用的端口,比如
OpenClaw Control面板,你应该使用 SSH 端口转发ssh -L 本地端口:目标主机:目标端口 用户名 @SSH 服务器,如果使用带 GUI 的 SSH 客户端应该会更容易配置端口转发
image1931×1279 113 KB
如果有能力,也可以使用 tailscale/easytier 组建虚拟局域网,这样更安全 - 对于需要暴露公网,作为小范围或大范围分享使用,请使用 nginx 进行反向代理端口,而不是直接暴露端口,并配置好限流和相关规则,尽可能使用 cloudflare 等 CDN 进行分发,控制分发内容合理且可控
- 对于 openclaw,之前折腾了一个多星期,这个服务本身应该无需暴露任何端口,包括 TCP 和 UDP,所以可以一刀切直接禁止 openclaw 监听的任何端口入站
附带服务器安全参考手册
VPS基本安全措施 开发调优前言 当我们拿到 VPS 之后,我们都需要做些什么呢? 如果选择将网站 / 服务放在知名厂商虚拟主机上,虚拟主机的厂商会负责基本的服务器安全措施。但如果放在 VPS 上,那么你就是服务器的安全负责人了。更多的权限代表着更多的义务,VPS 在具有更高的自由度的情况下自然有更高的风险。而我们要做到的不是绝对安全,而是比大多数人安全。 只要做到没那么容易被攻破那就是胜利。 本文使用的环境为 Ub…
欢迎佬友们补充
网友解答:--【壹】--:
想起还有个gpt-load的docker还是暴露公网的 当时gemini打野还是勃勃生机万物竞发
--【贰】--:
你家大门常打开
--【叁】--:
只是专业建站人的常识,大多数普通建站人都不做防护的。
--【肆】--:
我也是
呢
--【伍】--:
感谢提醒
--【陆】--:
同理, 反正机子也就用来访问外网, ssh也是16位特殊符合密码
--【柒】--:
感谢分享
sudo ss -tunlp 查暴露外网固然有用, 但有火墙而且对应的端口未开的话并不是大问题。
反代应该只是佛法扫起来困难一些,但仍然有被扫到的可能。更好的办法是用ssh 隧道映射到本地。
--【捌】--:
从查到的结果来看,并非常识
--【玖】--: shufu.yes:
特别是海外运营商的 都是直接开放所有端口
防火墙弄一下就好了
--【拾】--:
欢迎光临!
--【拾壹】--:
也是, 有安全意识的开发都不是非常普遍
--【拾贰】--:
扫端口都是自动化脚本扫的,这个你正常用 ssh 强密码或者密钥就行,如果是网站目录最好上 waf,能拦截很多
这是我做的扫 SSH 的展示
ttyd - Terminal
--【拾叁】--:
我一上来就是1-65535全开。
--【拾肆】--:
我用tailscale,大家可以试试,不难,我是新手
--【拾伍】--:
图里的示例是什么服务呀
--【拾陆】--:
但..这不是常识吗
--【拾柒】--:
现在说实话做安全视频和科普的人比较少,做了也没大有人看。一堆项目教学视频一上来就叫人开放端口关闭防火墙,看了也确实无语
--【拾捌】--:
我之前装 openclaw 的时候,用内置的飞书插件。它和我说飞书要配回调 url 接收消息,就自己写了一个 python web 服务器,让我想办法放到公网上。
一直没发现有啥不对,后面换飞书的插件才发现,飞书机器人可以用 websocket 通信
--【拾玖】--:
好多人一直在扫各种服务器+端口的, 攻击都是这样的。特别是海外运营商的 都是直接开放所有端口。。一般我也不会在海外服务器的vps上跑敏感服务了,怕