服务器安全设置教程,国外vps节点众多,免费一年云主机,免费vps香港,成都电信vps

🗣 Wd提问: 服务器安全设置教程

🤖 Ai回答:
以下是一份全面、实用且安全优先的服务器基础安全设置指南，适用于 Linux 服务器（以 Ubuntu/Debian 为例，其他系统略有差异）。核心原则：最小化攻击面 + 持续维护，避免“一刀切”的复杂方案。

🔐 一、核心安全原则（先理解再操作）
1、最小权限：只开放必要服务，用户仅拥有最低权限。
2、最小化暴露：关闭所有未使用的端口/服务。
3、持续更新：漏洞是攻击的起点。
4、验证所有操作：配置前先测试，避免锁死自己。

🛠 二、关键安全设置步骤（按优先级排序）

✅ 步骤 1：系统基础更新（必须！）
bash
更新包列表和系统
sudo apt update && sudo apt upgrade -y
sudo apt dist-upgrade -y 处理内核升级（重启后生效）

💡 为什么重要：90% 的服务器入侵利用已知漏洞（如 Log4j、Shellshock）。不更新=裸奔。

✅ 步骤 2：创建标准用户 + 禁用 root 直接登录（关键！）
bash
创建新用户（替换 your_username）
sudo adduser your_username

添加 sudo 权限（无需密码）
sudo usermod -aG sudo your_username

禁用 root SSH 登录（后续配置 SSH 时操作）

⚠️ 为什么：root 账号是黑客首选目标。永远不要用 root 登录服务器，只用 `sudo` 执行管理命令。

✅ 步骤 3：配置 SSH 安全（重中之重）
目标：用密钥登录 + 禁用密码 + 修改默认端口（可选但推荐）

1、生成 SSH 密钥对（在本地电脑操作）：
bash
本地电脑执行（不要在服务器上生成！）
ssh-keygen -t ed25519 -C your_email@65.hk
保存到默认路径（~/.ssh/id_ed25519.pub）

2、将公钥添加到服务器：
bash
用临时密码登录（首次需密码，后续用密钥）
ssh-copy-id -i ~/.ssh/id_ed25519.pub your_username@your_server_ip

3、编辑 SSH 配置文件：
bash
sudo nano /etc/ssh/sshd_config

修改以下关键项：
ini
禁用密码登录（必须！）
PasswordAuthentication no
禁用 root 登录（必须！）
PermitRootLogin no
修改默认端口（防扫描，建议 2222+）
Port 2222
仅允许特定用户（可选，但推荐）
AllowUsers your_username

保存后重启 SSH：
bash
sudo systemctl restart sshd

⚠️ 重要提示：
修改端口后，先用新端口测试连接（`ssh -p 2222 your_username@your_server_ip`），确认能登录再关闭旧端口。
如果用 `ufw` 防火墙，需放行新端口：`sudo ufw allow 2222/tcp`

✅ 步骤 4：配置防火墙（ufw Ubuntu 默认推荐）
bash
启用防火墙（默认拒绝所有入站，允许出站）
sudo ufw enable

允许 SSH（用你配置的端口，如 2222）
sudo ufw allow 2222/tcp

允许 HTTP/HTTPS（如果需要 Web 服务）
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

拒绝所有其他入站连接（默认已生效）
sudo ufw default deny incoming

💡 为什么：未配置防火墙的服务器是“开放的靶场”。只开必要端口（如 22, 80, 443）。

✅ 步骤 5：禁用不必要的服务和端口
bash
查看当前运行的服务
sudo ss -tuln

关闭无用服务（例如 FTP, Telnet, SNMP）
sudo systemctl stop vsftpd 停止 vsftpd
sudo systemctl disable vsftpd

检查并关闭未使用的端口（如 3306 MySQL 默认端口）
sudo ufw deny 3306/tcp 如果不需要远程数据库

🔍 检查点：`sudo netstat -tuln` 应只显示 `ssh`, `http`, `https` 等必要服务。

✅ 步骤 6：设置文件权限（避免 Web 上传漏洞）
Web 目录（如 `/var/www/html`）：
bash
所有者：www-data (Apache 用户)
组：www-data
权限：750（禁止其他用户写入）
sudo chown -R www-data:www-data /var/www/html
sudo chmod -R 750 /var/www/html

配置文件（如 `/etc/nginx/sites-enabled/`）：
bash
sudo chmod 640 /etc/nginx/sites-enabled/*

✅ 步骤 7：启用 Fail2ban（自动封禁暴力破解）
bash
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

⚙️ 配置：默认配置已足够，如需加固 SSH：
ini
/etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 3 3 次失败后封禁
bantime = 1h 封禁 1 小时

✅ 步骤 8：定期备份（救命稻草！）
bash
示例：备份 /var/www 和数据库（使用 rsync + cron）
sudo rsync -avz /var/www /backup/
sudo mysqldump -u root -p'password' database /backup/db.sql

💡 关键：
备份存到外部（云存储/另一台服务器），不要存本地。
测试恢复：每季度试一次恢复流程。

📌 三、安全加固清单（完成检查表）
| 项目 | 已完成 | 说明 |
|
| 系统更新 | ✅ | `apt update && upgrade` |
| root 禁用 SSH 登录 | ✅ | `PermitRootLogin no` |
| 密钥登录 SSH | ✅ | 禁用密码 `PasswordAuthentication no` |
| 防火墙启用 | ✅ | 仅放行必要端口 |
| 非必要服务关闭 | ✅ | 检查 `ss -tuln` |
| Web 目录权限 | ✅ | 750 + www-data 所有者 |
| Fail2ban 安装 | ✅ | 防暴力破解 |
| 定期备份 | ✅ | 有备份且测试过恢复 |

⚠️ 四、常见错误（新手必避！）
1、直接用 root 登录 → 用普通用户 `sudo` 代替。
2、未修改 SSH 端口 → 默认端口 22 易被扫描。
3、密码登录 + 无密码保护 → 必须用密钥登录。
4、防火墙未配置 → 服务器暴露在公网。
5、Web 目录权限 777 → 允许攻击者上传恶意文件。

🔍 五、安全审计（定期做！）
1、检查登录日志：
bash
sudo grep Failed password /var/log/auth.log

2、扫描开放端口：
bash
sudo nmap -p-sV localhost 本地扫描，确认只开放必要端口

3、检查用户权限：
bash
sudo cat /etc/passwd | grep -v nologin 检查是否有异常用户

💡 附：企业级建议（进阶）
启用 SELinux/AppArmor（CentOS/RHEL 默认开启，Ubuntu 可安装）。
使用堡垒机（如 JumpServer）集中管理服务器。
部署 WAF（如 ModSecurity）保护 Web 应用。
定期安全扫描：`lynis`（开源安全审计工具）。

Ai作答

📣 商家广告：