VPS配置服务器安全,香港vps 最便宜,韩国 vps cn2,vps登录工具,VPS配置防火墙规则

🗣 Wd提问: VPS配置服务器安全

🤖 Ai回答:
这里为您提供一份详细的 VPS 服务器安全配置指南，涵盖了从初始设置到长期维护的核心步骤。

遵循“最小权限原则”和“纵深防御原则”，从多个层面构建安全防护。

核心安全配置步骤

1、初始登录与用户管理

a、使用 SSH 密钥登录，禁用密码登录
这是最重要的一步，能有效防止暴力破解。

* 本地生成密钥对 (在您的电脑上操作):
bash
ssh-keygen -t ed25519 -C your_email@65.hk 或者使用 RSA: ssh-keygen -t rsa -b 4096

这将生成两个文件：`id_ed25519` (私钥，妥善保管) 和 `id_ed25519.pub` (公钥)。

* 上传公钥到 VPS:
bash
ssh-copy-id -i ~/.ssh/id_ed25519.pub root@your_server_ip

如果 `ssh-copy-id` 不可用，可以手动将公钥内容复制到 VPS 上的 `~/.ssh/authorized_keys` 文件中。

* 禁用密码登录 (在确认能用密钥登录后):
登录 VPS，编辑 SSH 配置文件：
bash
sudo nano /etc/ssh/sshd_config

找到并修改以下行：

PasswordAuthentication no
PermitRootLogin no 强烈建议禁止 root 直接登录
PubkeyAuthentication yes

* 重启 SSH 服务:
bash
sudo systemctl restart sshd

重要：在重启 `sshd` 之前，请打开一个新的终端窗口测试是否能成功用密钥登录，防止配置错误把自己锁在外面。

b、创建具有 sudo 权限的普通用户
禁止 root 登录后，需要一个普通用户来管理服务器。

* 创建新用户:
bash
adduser username 替换 'username' 为你想要的用户名

* 授予 sudo 权限:
bash
usermod -aG sudo username 在 Debian/Ubuntu 上
或者在 RHEL/CentOS 上: usermod -aG wheel username

2、配置防火墙 (UFW)

防火墙是必不可少的屏障，只开放必要的端口。

* 安装 UFW (如果未预装):
bash
sudo apt update && sudo apt install ufw Debian/Ubuntu
sudo yum install ufw CentOS/RHEL (可能需要 EPEL 仓库)

* 设置默认策略:
bash
sudo ufw default deny incoming 默认拒绝所有传入连接
sudo ufw default allow outgoing 默认允许所有传出连接

* 开放必要端口:
bash
sudo ufw allow 22/tcp comment 'SSH' 务必确保 SSH 端口已开放！
sudo ufw allow 80/tcp comment 'HTTP'
sudo ufw allow 443/tcp comment 'HTTPS'
如果你有其他服务，如 MongoDB (27017), 请不要轻易开放到公网！

* 启用 UFW:
bash
sudo ufw enable

查看状态：`sudo ufw status verbose`

3、 Fail2Ban 防暴力破解

Fail2Ban 会监控系统日志，当发现多次失败的登录尝试时，自动封禁对应的 IP 地址。

* 安装 Fail2Ban:
bash
sudo apt install fail2ban Debian/Ubuntu
sudo yum install fail2ban CentOS/RHEL

* 配置:
复制默认配置文件并进行修改：
bash
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

在 `[sshd]` 部分，你可以调整封禁参数：

[sshd]
enabled = true
maxretry = 3 最大重试次数
bantime = 1h 封禁时间 (例如 1小时)。可以设置为 -1 永久封禁。
findtime = 10m 在10分钟内尝试

* 重启服务:
bash
sudo systemctl restart fail2ban
sudo systemctl enable fail2ban 设置开机自启

4、保持系统更新

安全漏洞会不断被发现和修复，及时更新系统是成本最低的安全措施。

bash
Debian/Ubuntu
sudo apt update && sudo apt upgrade -y

RHEL/CentOS
sudo yum update -y
或者使用 dnf (较新版本)
sudo dnf update -y

可以考虑配置无人值守更新（对于安全更新特别推荐）：
bash
sudo apt install unattended-upgrades Debian/Ubuntu
sudo dpkg-reconfigure unattended-upgrades 进行配置

5、禁用不必要的服务

检查正在运行的服务，关闭任何不需要的。

bash
sudo systemctl list-units type=service state=running
sudo systemctl stop service_name 停止服务
sudo systemctl disable service_name 禁止开机启动

6、安装和配置入侵检测系统 (AIDE)

AIDE (Advanced Intrusion Detection Environment) 会创建一个所有文件的数据库，定期检查文件是否被更改（是否被篡改、是否有隐藏后门）。

* 安装:
bash
sudo apt install aide Debian/Ubuntu
sudo yum install aide RHEL/CentOS

* 初始化数据库:
bash
sudo aideinit
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

* 手动检查:
bash
sudo aide check

可以设置一个 Cron 任务来定期运行检查并通过邮件发送报告。

高级安全措施 (根据需求选择)

1、更改 SSH 端口:
编辑 `/etc/ssh/sshd_config`，将 `Port 22` 改为一个非标准端口（如 `5022`），并记得在防火墙中开放新端口。这可以减少自动化脚本的扫描骚扰。
注意：这只是一项“隐蔽安全”措施，不能替代密钥认证。

2、使用 VPN 或跳板机:
对于极度敏感的环境，可以不将 SSH 端口暴露给公网。而是让 SSH 只监听内网 IP（如 `127.0.0.1` 或 `10.8.0.1`），然后通过 WireGuard/OpenVPN VPN 连接后，再从内部访问 SSH。

3、配置第三方 DDoS 防护:
如果担心应用层攻击（如 HTTP Flood），可以考虑使用 Cloudflare 等 CDN 服务来代理你的流量，隐藏你的服务器真实 IP，并提供缓解 DDoS 攻击的能力。

4、定期审计与备份:
* 审计：使用 `sudo grep 'Failed password' /var/log/auth.log` 查看认证失败记录。使用 `last` 和 `lastb` 命令查看登录信息。
* 备份：制定严格的备份策略（例如，通过 `rsync`，`rclone` 等工具），并将备份存储在异地。确保在系统被入侵后有能力快速恢复。

5、为每个服务使用非特权用户:
例如，运行 Web 服务器（Nginx/Apache）的用户应该是 `www-data` 或 `nginx`，而不是 `root`。数据库、应用程序等都应有自己的专属用户。

安全检查清单

* [ ] SSH 使用密钥认证
* [ ] 禁用 root 的 SSH 登录和密码登录
* [ ] 防火墙 (UFW) 已启用，且只开放必要端口
* [ ] Fail2Ban 已安装并运行
* [ ] 系统已更新到最新
* [ ] 已创建具有 sudo 权限的普通用户
* [ ] 不必要的服务已关闭
* [ ] 已设置自动安全更新（可选但推荐）
* [ ] 配置了 AIDE 等文件完整性监控（可选）
* [ ] 有有效的数据备份和恢复方案

安全是一个持续的过程，而非一劳永逸的设置。定期审查日志、更新软件和复查配置是维护服务器安全的关键。

Ai作答

📣 商家广告：