最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。

联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密钥访问）。如果云服务器要是中毒了，那么和这些云服务器相连的机器会被一锅端，想想就觉的害怕。

我现在情况是：有8台linux机器（在家用宽带的内网）+4台云服务器（也是linux），云服务器作为我从外部访问内网linux机器的跳板（但是为了访问方便，所有机器都用同一个密钥和相同的authorized_keys，这样可以相互访问）。安全方面没有研究，只是关闭了所有服务器ssh的root登录和密码登录，只允许密钥登录，云服务器只对外开ssh端口tinc端口wg端口，内网服务器则没有做限制。

我不懂网络安全，感觉这么做很不正规有安全隐患。恳请各位大佬帮忙看一下该如何才能提高这些云服务器和内网linux的安全性？
--
FROM 223.73.3.*

哪里照这样的杀毒软件。。。
好像还没看到过呢

【 在 zxqnyl 的大作中提到: 】
: 可以先装个Linux版本的杀毒软件应应急
发自「今日水木 on XT2451-4」
--
FROM 223.73.3.*

感谢分享经验，都是满满的干货啊。
感觉第2条和第3条加起来，可以满足几乎9成9的场景。

【 在 hyoga 的大作中提到: 】
: 我个人的经验/原则是：尽可能减少非服务性端口的广域暴露（比如http/https，这需要
: 提供给公网的话）。
: 那么根据这个原则能做的（我前面也提到过的，抛砖引玉，仅供参考）：
: ...................
--
FROM 223.73.3.*

有什么工具可以简化这些操作吗？或者说哪些工具可以监视端口，我现在都用netstat -anplt检查端口
另外密钥登录的安全性怎么样，会被攻破吗？

【 在 sendfree 的大作中提到: 】
: 做好云服务器端口管控，定期检查进程列表。
: 秘钥登录的安全性已经比较高了。如果有需求，可以再加上 knockd 端口敲门服务。
:
--
FROM 223.73.3.*

K8S资源消耗怎么样？我一直以为K8S后台进程比较复杂和耗资源，没有docker轻量。加上K8S学不会，就没弄。

我现在的云服务器性能很差，大概就是单核2G内存50G硬盘这种，这样的配置跑K8S没问题把。


【 在 iwannabe 的大作中提到: 】
: 云服务器跑k8s，只开ssh端口，用密钥登陆，所有暴露公网的跑在容器里，用ingress暴
: 露，docker之间隔离，用ingress/egress配置访问权限。
:
: ...................
--
FROM 223.73.3.*