刚好这两天把几台 VPS 重新整理了一下安全配置,主要是平时被扫得太多了,索性做了一套最基础的加固,顺便记一下流程。
整体不复杂,就三块:SSH、Fail2Ban、防火墙。
- SSH 先处理掉默认弱点
新机器第一件事基本都是 SSH。
我这边做了几个改动:
默认 22 改成了 2222
关闭 root 直接登录
关闭密码登录,只留 key
配置文件:
Bash
nano /etc/ssh/sshd_config
主要就这几行:
Port 2222
PermitRootLogin no
PasswordAuthentication no
改完记得先确认 key 能正常登录,再重启 SSH:
Bash
systemctl restart ssh
2. Fail2Ban(防爆破)
装一下:
Bash
apt update && apt install -y fail2ban
配置:
Bash
nano /etc/fail2ban/jail.local
内容:
[DEFAULT]
findtime = 10m
maxretry = 5
bantime = 1h
[sshd]
enabled = true
port = 2222
backend = systemd
启动:
Bash
systemctl restart fail2ban
systemctl enable fail2ban
3. 防火墙(UFW 收口)
安装:
Bash
apt install -y ufw
默认规则:
Bash
ufw default deny incoming
ufw default allow outgoing
开放端口:
Bash
ufw allow 2222/tcp
ufw allow 80/tcp
ufw allow 443/tcp
启用:
Bash
ufw enable
做完之后大概就是这样
SSH 不再是默认 22
只能 key 登录
爆破 IP 会自动封
只开放必要端口
不复杂,但至少能挡掉大部分扫描和脚本爆破。
注意事项-注意事项-注意事项 (一定要看)
SSH 这块别一上来就把密码关死或者端口乱改,顺序错了基本就是把自己锁外面;Fail2Ban 也别神话,它就是拦脚本爆破的,真要有漏洞该进还是进;防火墙更别乱开乱关,规则一多自己都容易搞混,最后把 SSH 或业务端口封了反而更麻烦。改端口这类操作也别以为是“安全升级”,本质就是减少扫描噪音,不是提升防御能力。
4 个帖子 - 3 位参与者