这几天一直在折腾的博客搬家,从CC搬到了软云_RuanCloud的香港GIA的VPS上,使用的宝塔一键迁移,搬家倒也是快的很。最后一步是网站文件、数据库的备份,我是三种备份方式,一是直接备份到服务器本地、二是备份到OneDrive、三是备份到阿里云OSS。由于原来的阿里云OSS密钥都使用了三年,便重新生成了一组密钥。我的一些常用密码一般记录在语雀或是Memos上,偶尔也会使用Bitwarden。
昨天下午两点多的时候,就把重新生成的阿里云OSS密钥记录在了Memos上。但是由于自己的粗心大意,没有把阅读权限设置成“私有”便发布了。我的Memos被林木木等几位大佬的Memos广场收录了,这下便把这条阿里云OSS密钥的信息给广播出去了。
下午五点来钟到家,打开TG后看到Raven和smartEnoughg两位朋友给我留言说我的OSS密钥泄露,Raven又跑到我的博客上给我留言。今天早上打开邮箱看到大大的小蜗牛也给我发邮件说OSS被泄露。当看到信息后立马登录阿里云OSS后台查看,看到文件什么的都还在,还好还好没有被删除。但是发现了有125.47M的流出流量,一定是某些文件被人下载了。阿里云OSS里都是我备份的网站文件、数据库。如果网站的配置文件被泄露的话,那后果真的不可想象。
通过查询桶文件的“文件访问统计”发现列表里有我之前做的论坛的网站备份,文件大小正好是125.47M,可想而知,这个论坛的文件备份被某人下载了。还好这个网站我已经不开,文件还是去年11月份的,数据库等重要东西也没有被泄露。也算是不幸中的万幸吧!如果发现的再晚一些,这位同志把我的数据库、网站文件全都下载了的话,那就等于我是一丝不挂的站在他面前了,后果真的不敢想象。
唉,做事可真的不能这么粗心大意了!
真的得要好好感谢关心老张的朋友们!特别是Raven、smartEnoughg和大大的小蜗牛,万分感谢!老张在这给大家鞠躬致谢了!感谢!
哈哈哈,真够糊涂的啊
@老麦: 是呀,险些造成大错。
怎么从cc换到了软云,看软云这价格真的很香,配置很高呀,访问你速度也很ok,不比之前查,现在用的什么配置的呢,参考参考。
@sagrre: CC呢说快也不算太快,说慢也不是太慢,做站速度是在可以接受的范围内。用了软云的,速度算是起飞了。我目前用的是4C8G7M GIV款的,一年500块的。其实我们做博客的,二百多那款配置就可以了。
@老张: 我看网站有扶持计划,你这种大站应该可以拿个高配的,我这小破站问了一下,也可领个1年的入门机。软云这家之前都没怎么听过,不知道机子怎么样,你先试试水
@Feng: 扶持计划?那你也可以先搞一年试用下呀
@老张: 看了他们家的公告,说是香港的机子要实名https://ruan.cloud/knowledgebaseview?id=9(香港产品在正常情况下为必须实名,现发布香港产品实名新条例),境内的主机商还是逃不过呀,虽然咱们也都是良民
@Feng: 您好,https://ruan.cloud/knowledgebaseview?id=9,此条例是针对免费试用产品用户的,付费产品与赞助计划为不强制实名,感谢您的支持,有任何问题可以通过联系平台在线客服或者平台工单与我们取得联系,祝您生活愉快!
@广州软云网络: 首月免费的那个,选择一年居然比第二款还贵,这定价也算是无敌了
@老狼: 您看错产品区域了,活动页面的产品不是同一区域
https://ruan.cloud/cart?action=configureproduct&pid=146
https://ruan.cloud/cart?action=configureproduct&pid=147
2h2g在特价区域的价格是166,2h4g在特价区域是199
普价区域分别是199和249,有疑问可联系平台在线客服获得更多了解!
@广州软云网络: 2h4g在特价区域是199,做网站首选了。不错。
@Feng: 不用实名的。
还好没有什么私密信息
@梦不见的梦: 就是,不幸中的万幸了吧,
大意了,还好没导致什么问题。
@粽叶加米: 还好还好,不幸中的万幸
没有删掉档案或者损失,算是不幸中之大幸。
密码记录还是得放在一个专门的地方,但凡能公开访问的就要小心了。一个大意就漏了。
@obaby: 唉,是呀,这不就漏了嘛,还好没有损失
太可怕了,幸亏就是下载点东西,密钥这种东西发到公网,老张同志胆子奇大。
@Jeffer.Z: 以后不会了,还是放在OB笔记里吧。
看到把密码记录在 memos 就猜到了结果。我个人还是更倾向于把一些不常用但是比较重要的密码记录在手机的备忘录里,还可以设置访问加密。
不过自从没用苹果的设备后,出于对国内云服务的不信任,我把那些私密的内容都转到 onenote 去了。
@w4j1e: 我直接把密码和秘钥贴在微信收藏,哈哈哈,心太大了。😂 但是我觉得最安全的就是微信收藏。
@w4j1e: 以后放在OB笔记里了,不能这样大意了。
哈哈 没啥损失就行
@网友小宋: 是呀,不不幸中的万幸
感觉你的CC买了也没很久,到期了?另外软云用的怎么样?密钥这种东西还是放在专门的地方保管比较好,Bitwarden自己搭建一个也还不错,Memos的话可以再搭建一个只用来保管密钥的,统一设为私有
@Feng: 没有到期呢,CC只算是备用了。现在就是软云,速度已经起飞
居然把密钥类的记录到memos ,就算是私密也要特别谨慎。
@老狼: 以后不会了,记住这次教训了。
密码什么的 我都是存在自建的笔记软件里。三端同步。
@格子老师: 以后也放OB笔记里了。
这空间速度确实不错。
@格子老师: 是的,速度已经起飞
看到第一时间就感觉大事不妙,刚好在检查邮件,就顺手发了封邮件。这种下载应该是故意下载的。不过没什么损失就好!这种 Access Key 可以控制细粒度的权限,应该是越少越好。
@大大的小蜗牛: 另外,你的 Memos Artalk 评论出错可能是加载资源出错,在 `memos.js` 这个 JS 文件第 92 行,把 URL 改正确一下 `server: ‘https://https://artalk.laozhang.org/’` 去掉多余的 https 试试看。
@大大的小蜗牛: 删除了,还是不行。
@大大的小蜗牛: 是的,真的感谢你!
第一时间删除了里电报频道里的广播转发,没事就好
@林木木: 感谢感谢,还好没有损失
还好,没有照片门泄露事件哈哈
你会的软件真多。我用原始方法记密码,电脑的文本文档、手机的笔记,害怕泄露,用自己才知道的不同方式进行了二次加密
@两对半: 艳照没有存在OSS里,呵呵。我只是多多折腾罢了,会的东西不多。
最小权限原则,创建密钥时最好仅授予必要的权限(比如备份工具使用的密钥只授予写对象的权限,不授予列出对象的权限),这样即使不慎泄露,造成的影响也会小一些。
@电脑星人: 对的,记住教训了。
博客访问速度比之前更快了些,这个主机配置很高了,但好在访问速度快,我也确实该考虑一台大带宽的主机了。
@邹江: 是的,速度到起飞了。他家主机性价比还是不错的。
这个密钥弃用了吧,估计搜索引擎收录了
@小饿: 当天下午就删掉了,不敢用了。
真吓人!重要数据,再加上账号密码等信息,真是脱光了给大家看啊,可上点心吧 哈哈
@Dabenshi: 这次教训 让我很长心!!
看了张老师所用的,我也用上了软云,速度比之前快了好多,哈哈,不知道是不是因为上一个里面有论坛的缘故,现在这个就放了博客和博客圈这两个站
@段先森: 提我给你价格打骨折!
看到你的标题吓一跳,还好损失不大。
@林羽凡: 就是的,基本算是无损失了
密码密钥还是要保管好
@美樂地: 是的,现在搬到OB上去了
😄没用过,第一次听说软云。
@老罗: 从去年11月份就买过他家的服务器。