安全防护
重要提醒
为了确保系统安全,以下几点请务必重视与落实。⚠️⚠️⚠️
限制不必要的访问
限制不必要的访问,确保服务器的安全。
HAP 系统部署依赖管理器,管理器默认监听 38881 端口,它除了辅助首次安装外,还提供后期的在线升级、重 启等功能,一般除系统运维人员外,38881 并不需要被其他人访问使用,所以部署完成后,建议对 38881 设置访问策略。
如果需要通过外部客户端软件来连接访问存储组件,需要注意对暴露的端口进行白名单控制,特别像采用云服务器部署的情况,如果把常用端口(如:MySQL:3306、MongoDB:27017)暴露到互联网,再加上弱口令,基本无安全性可言,除了可能数据泄露,还比较容易被黑客攻击,攻击者可能删除数据库数据(一般会留下 README 文件提示支付一笔费用可找回数据)。
使用强密码
s定期更换复杂密码,防止密码被破解。
这里包括服务器与连接存储组件的认证密码。比如 MySQL、MongoDB、Redis 等组件,这也是对有需要对外暴露端口的情况进行加强保护。单机模式下可参考 数据库强口令配置。
加密数据
开启 HTTPS 等加密协议,防止数据被中途截取。
定期备份
自动备份系统数据,确保数据可恢复,防止丢失。
【单机部署】模式下,可参考 HAP 提供的备份方式 进行备份,另外推荐对服务器进行定期快照。
【集群部署】模式下,需要对 数据存储服务器 和 中间件服务器 的数据目录进行定期备份,另外推荐对这两类服务器进行定期快照。如果系统由 HAP 实施团队部署,HAP 提供的交付文档会说明数据目录。
漏洞修复
及时更新,定期修补系统漏洞,降低安全风险。
监控与报警
配置异常检测和报警系统,及时发现潜在威胁并采取措施。
DDoS 防护
有条件的情况下可启用 DDoS 防护功能,防止恶意流量攻击,有效提高业务连续性。