hoyx91
在購買雲服務器的時候,會提供兩個密碼:控制檯的密碼,可以直接在阿里雲的控制管理平臺登錄,這個帳號密碼的權限最大;雲服務器上的操作系統帳號密碼。
如果外包人員幫助你們部署在雲服務器,還有FTP服務器的帳號密碼、應用系統即網站的後臺管理密碼。
為了安全起見,在部署完成後,
1、修改常用的SSH、FTP等協議的端口,把相關的密碼都修改。
2、登錄阿里雲的控制平臺,建立安全組,限制登錄服務器的IP地址等
SuperITdog
如果不是沒付尾款,一般不會有程序員無聊的去修改客戶的程序。他可能還期盼你成為他的回頭客,或者幫他介紹客戶呢。
所以不用太擔心。
但如果確實想修改的話,修改阿里雲賬號密碼肯定是第一步,但還要修改其他的地方才行。
1,如果網站是純靜態頁面(沒有內容管理後臺,網站內容不可修改),就比較簡單了,只需要再修改服務器密碼就行。無論是虛擬主機還是雲服務器,都可以在阿里雲後臺直接修改。
上為雲服務器修改密碼,下為虛擬主機修改密碼
2,如果網站是有管理後臺的,這就涉及到了數據庫,改密碼就很麻煩了。
因為你不僅需要修改數據庫密碼,還必須同時將新密碼同步到網站程序中。在準備修改前,要確保自己學會了以下內容:否則就會造成網站打不開的問題。
1)數據庫密碼修改方法
2)網站文件下載到本地方法(下載文件後修改)
3)網站程序中修改數據庫密碼的方法
4)上傳網站文件的方法
修改數據庫密碼的方法可參考阿里雲官方給出的修改教程:
https://yq.aliyun.com/ziliao/76981
修改網站程序裡的數據庫密碼,要先找到數據庫配置文件,然後修改密碼,再上傳到服務器。
以wordpress框架做的網站為例,先找到wp-config.php文件,這是默認的配置文件,然後找到define( 'DB_PASSWORD', 'password_here' );這一行,將“,”後面單引號裡的字符串替換成新的數據庫密碼。修改時要注意文件編碼和權限問題。
其他CMS管理系統的數據庫配置文件修改方式,可以百度查到。如果程序員沒有套用框架,那就得自己去找數據庫配置文件了。
上傳和下載網站文件使用FTP,阿里雲也有專門的操作說明。
總之,如果你的網站涉及了數據庫,請謹慎修改密碼。
新咖網絡技術
理論上是這樣的,這要建立在外包方老老實實規規矩矩的交付了。阿里雲服務器只代表對方把網站系統部署在服務器上,服務器管理賬號並不是唯一可以進入管理網站的方式,程序開發方有一百種辦法可以對網站進行更新。
所以呢與其猜測或者防備,不如在法律上約定清楚,簽訂保密協議,約束清楚,這樣即使其有心也沒有那個膽去篡改你的網站,要付出代價的。所以外包開發項目雙方不要有什麼糾紛,也不要拖欠尾款什麼的,想分手也是友好分手,把該籤的保密協議簽了,把該交付的賬號也要一起交付。後面你更改密碼也是應該的,如果不想讓對方繼續維護的話。
其實如果雙方合作很愉快的話,我都建議每年給一點服務費讓對方幫你維護,如果你們自己沒有專業的IT人員的話。即使交付的網站,後期都難免會有一些小的問題,也需要服務。
朱腦AI
租借服務器是阿里雲的,一般是存在兩個賬號,控制檯的賬號,還有一個就是你在阿里雲服務器上的操作系統的登陸賬號。
所以要想完全不然讓外包修改你的代碼,原則上這兩個賬號的密碼都要修改,並且在登陸上增加一個手機驗證的功能,就可以了。
希望能幫到你
大學生編程指南
事情沒有你想得那麼簡單,網站存著後門呢?
在線修改代碼很簡單的。
有些後門可以通過軟件掃描出來,但是有些是掃描不出來的。
比方說,你登陸後臺是需要賬號密碼的,但是也可以通過特殊手段不用賬號密碼或其他方法進入後臺。
還有你說修改阿里雲密碼只是改了個阿里雲密碼,服務器的密碼呢?數據庫密碼?
不過這樣說吧,既然選擇外包了,就要選擇相信對方。雙方建立在共同信任的基礎上來合作。
轉玩電腦
安全是比較寬泛的話題。他要留後門大致我想到的有幾種。
1. 阿里雲登錄控制檯,他如果有帳號密碼,可以進去重置密碼,搞死你。
2. 機器ssh密碼,你問題說了。這裡注意要檢查所有賬號,密碼,ssh的公鑰配置,特殊的登錄模塊等等。
3. 機器上某個服務的權限。比如有些非ssh的服務可以允許遠程管理或登錄. telnet,rsh,rdp,vnc,chrome desktop等等
4. 惡意後門。比如,網站php,java可以執行的後門。舉個例子,他代碼裡面有個backdoor.php,根據頁面入參可以執行任何shell命令。 又或者mysql端口對公網打開,他可以進去改數據庫等等。
5. 更隱蔽的代碼漏洞。比如oss的accesskey和 密鑰他知道,他就可以直接改oss的文件,而如果代碼有邏輯直接從oss下載,執行oss上的腳本,這個相當於他可以直接控制服務器了。
6. 有些遠程登錄軟件可以在Web 服務器運行,例如web ssh。
7. 週期或者延期類的腳本行為,在將來打開後門。比如某個不顯眼的賬號埋入一個3個月後執行的腳本來打開後門,後患無窮。
還有很多其他的,總的來說,最好系統都不讓他碰,太多後門的可能了。這樣你就只用專注於審查他的代碼。
WuShilin
沒有絕對的安全,除非你對系統和代碼都非常熟悉。系統的安全,各種賬號,代碼裡有沒有後門,有沒有定時執行的腳本,等等。還是出於信任的思想,做好正常的服務器交接吧。一旦有問題,一抓一個準。一般情況乙方不會為難甲方,除非是你不想給尾款。
7-77777-1
其實這完全是多此一舉,一般外包公司會有後續的維護服務
而且程序上線都會有很多沒發現的問題,需要外包公司持續維護。
像我開發的項目,客戶一般都不修改服務器信息的,方便後續維護。
尤其是大項目,上線一兩年了都在修復或修改問題。
只要大家協議好就行了,只要不拖款賴帳,沒人會吃飽了沒事幹去動你代碼。也許你讓外包公司修改人家還不願意。
高飛54821146
題主的網站是外包的,按照題主所說,服務器應該是你自己的,買來之後提供給開發者,完成開發之後你再把阿里雲的密碼改掉。
我說下里面存在的幾點問題。
1.阿里雲的控制檯密碼。這個密碼應該就是題主所說修改的密碼,這個賬戶密碼是管理阿里雲服務器的運行的,密碼修改之後別人也就無法登錄你的服務器管理後臺了。
2.還有一個密碼就是服務器的遠程密碼。開發者在開發過程中基本用不到你的控制檯密碼,而是用到服務器的遠程管理密碼。有了這個密碼是可以修改服務器內的任何文件的,所以這個密碼至關重要。這個密碼是在阿里雲的控制檯進行修改的。
3.外包完成之後務必修改阿里雲的控制檯密碼和遠程管理密碼。如果開了ftp賬戶,也請關閉或者修改ftp的密碼,因為服務器的ip基本是不變的。所以ftp的密碼也是非常重要的。
是不是修改了所有的相關密碼別人就無法修改服務器的文件了呢?當然不是。因為有可能出現一種基本不會出現的事情,那就是外包公司留下後門程序,所以為了保險起見,請徹底查殺一下服務器是否存在木馬文件和後門文件。
雨軒3962
2個密碼都要修改
一個阿里雲密碼
一個網站後臺密碼
但這些基本沒用
如何人家留後門,自行添加了root權限用戶
遠程ssh登陸, 你一樣數據洩漏。
最好的辦法是要自行通過安全檢查
拒絕任何遠程ssh登陸
指定ip可登陸
。。。
如果真被賊惦記了, 防不勝防。
沒有絕對安全的網絡
萬一人家來個社工,釣魚郵件
你自行洩漏密碼呢
所以強化員工安全意識, 經常檢測服務器日誌分析可能的攻擊記錄。。等等
