无论您使用的是CentOS、Ubuntu还是Debian系统,在完成VPS部署后,首要任务就是进行基础安全加固。这一阶段的目标是消除默认设置带来的安全隐患,为后续优化打下坚实基础。
务必立即更改root密码并创建具有sudo权限的专用用户:
- 使用
passwd root设置高强度密码(12位以上,含大小写字母、数字和特殊字符) - 创建新用户:
adduser username并添加到sudo组:usermod -aG sudo username - 测试新用户权限后,通过
sudo visudo进一步限制sudo权限
更新系统至最新状态是不可忽视的步骤:
- Ubuntu/Debian:
sudo apt update && sudo apt upgrade -y - CentOS/RHEL:
sudo yum update -y或sudo dnf update -y - 重启以应用内核更新:
sudo reboot
SSH安全配置:关闭通往服务器的危险大门
SSH是大多数攻击的首要目标,优化其配置能显著提升VPS安全性。编辑SSH配置文件/etc/ssh/sshd_config,实施以下关键更改:
- 更改默认端口:将
Port 22改为1024-65535间的非标准端口 - 禁用root登录:设置
PermitRootLogin no - 启用密钥认证:设置
PasswordAuthentication no并配置SSH密钥对 - 限制用户访问:使用
AllowUsers username指定可登录用户 - 设置登录尝试限制:
MaxAuthTries 3和LoginGraceTime 60
完成修改后,重启SSH服务前,务必在现有连接中测试新配置:sudo sshd -t确保无误,然后使用sudo systemctl restart sshd应用更改。
防火墙配置:构建网络层防护屏障
正确配置防火墙是保护不建站VPS的关键环节。无论使用iptables还是firewalld,都需遵循最小权限原则。
以UFW(Uncomplicated Firewall)为例,基本配置流程如下:
启用UFW:
sudo ufw enable
设置默认策略:sudo ufw default deny incoming和sudo ufw default allow outgoing
开放必要端口:仅开放您修改后的SSH端口,如sudo ufw allow 4567/tcp
如果您需要运行特定服务,可以参考以下端口管理原则:
| 服务类型 | 推荐操作 | 风险等级 |
|---|---|---|
| SSH远程管理 | 更改端口+IP限制 | 高危 |
| 数据库服务 | 仅本地访问或IP白名单 | 极高危 |
| 监控服务 | 必要时开放+认证 | 中危 |
入侵检测与监控:建立主动防御体系
对于不建站VPS,入侵检测同样重要。即使没有web服务,系统仍可能成为攻击跳板或挖矿程序的受害者。
部署基础监控方案:
- 安装并配置Fail2Ban:自动封禁暴力破解IP
- 设置日志监控:定期检查
/var/log/auth.log和/var/log/syslog - 配置系统资源告警:当CPU/内存使用率异常时及时通知
- 安装根工具包检测工具:如rkhunter、chkrootkit
以下为简易监控脚本示例,可加入crontab定期执行:
#!/bin/bash
# 检查异常进程
ps auxf | grep -v grep | grep -E “(miner|xmrig|sqlmap)”
# 检查可疑网络连接
netstat -antp | grep -E “(:3333|:4444|:5555)”
# 检查系统负载
load=$(uptime | awk -F’load average:’ ‘{print $2}’)
echo “系统负载:$load”
服务精简与优化:减少攻击面
不建站VPS应仅运行必要的服务。通过以下步骤精简系统服务:
- 使用
sudo systemctl list-unit-files --type=service查看所有服务 - 禁用不需要的服务:
sudo systemctl disable service_name - 移除无关软件包:
sudo apt autoremove或sudo yum autoremove - 定期检查监听端口:
sudo netstat -tulpn或sudo ss -tulpn
常见可禁用的服务包括:
- Apache/Nginx(如果不提供web服务)
- Sendmail/Postfix(如果不发送邮件)
- Bluetooth/cups(云服务器通常不需要)
- 不必要的数据库服务
备份与应急响应:构建最后防线
完善的安全策略必须包含备份和应急方案。对于不建站VPS,主要备份对象包括配置文件、脚本和关键数据。
实施3-2-1备份原则:
- 至少保存3个数据副本
- 使用2种不同存储介质
- 至少有1个异地备份
制定简单有效的备份策略:
# 每周全量备份关键配置
tar -czf /backup/config-$(date +%Y%m%d).tar.gz /etc/ssh /etc/ufw /home/user/scripts
# 使用rsync同步到远程存储
rsync -avz /backup/ user@backup-server:/vps-backups/
# 设置定期清理:保留最近4次备份
find /backup/ -name “config-*.tar.gz” -mtime +28 -delete
准备应急响应清单,包括:供应商支持联系方式、系统重装流程、数据恢复步骤和关键配置文件备份位置。
日常维护清单:养成良好的管理习惯
将以下维护任务纳入例行工作,确保VPS长期稳定安全运行:
- 每周:检查系统更新、审查日志文件、验证备份完整性
- 每月:审计用户账户、更新SSH密钥、检查防火墙规则
- 每季度:进行安全扫描、审查服务配置、更新应急预案
- 每年:评估VSP配置是否符合当前需求、考虑迁移到更新版本的系统
养成良好操作习惯:
- 使用VPN连接管理VPS,避免在公共网络直接操作
- 敏感操作前创建系统快照(如果提供商支持)
- 重要配置修改前进行备份并记录修改内容
- 定期审查访问日志,及时发现异常活动
通过系统化的安全设置和规律的日常维护,即使是不建站的VPS也能有效抵御各类网络威胁,成为您稳定可靠的远程工作平台。
内容均以整理官方公开资料,价格可能随活动调整,请以购买页面显示为准,如涉侵权,请联系客服处理。
本文由星速云发布。发布者:星速云。禁止采集与转载行为,违者必究。出处:https://www.67wa.com/103980.html
