刚拿到新VPS的小伙伴,估计都挺兴奋的,感觉像有了自己的第一块网络地盘,想马上搭建网站或应用。但稍等一下,你有没有想过,这台暴露在公网上的服务器,可能正被无数“机器人”扫描试探,如果基础安全没做好,很容易就成了别人的“肉鸡”。
别担心,今天我就用大白话聊聊VPS安全设置,尤其是如何有效防止暴力破解,以及怎样配置防火墙才更稳妥,这些都是新手必须打好的基础。
🔑 第一道防线:告别“万能钥匙”Root账户直接用root账户登录VPS,虽然权限最大,但风险也最高——它就像一把万能钥匙,谁都想来试一下。所以,我们要让它“退居二线”。
我的操作习惯是:
创建一个专属的日常管理账户:比如起个你喜欢的名字,比如 myadmin或 vpsadmin(避免直接用 admin这种太常见的)。
bash复制adduser myadmin给这个新账户授予“临时提权”的资格:使用 sudo命令,这样平时普通操作,需要更高权限时命令前加 sudo即可。
bash复制usermod -aG sudo myadmin测试新账户:退出root,用新账户登录,试试执行 sudo apt update,成功的话,以后就主要用这个账户了。
完成以上步骤后,记得在SSH配置中设置 PermitRootLogin no,彻底禁止root直接远程登录。
🔒 升级登录方式:用密钥代替密码仅靠密码验证,就像用普通门锁,总有被暴力尝试的风险。SSH密钥认证则更像指纹或虹膜识别,安全级别高很多。
具体操作思路:
在本机生成密钥对:密钥对包含公钥和私钥。私钥妥善保存在自己电脑,公钥上传到VPS。
在Linux或macOS终端,或Windows PowerShell中,可以使用命令 ssh-keygen -t ed生成(Ed算法目前被认为较优)。
将公钥上传至VPS:可以使用 ssh-copy-id myadmin@你的VPS_IP这类命令(确保替换用户名和IP)。
在VPS上配置SSH,启用密钥登录并禁用密码登录:编辑 /etc/ssh/sshd_config文件,确保包含 PubkeyAuthentication yes和 PasswordAuthentication no。
⚠️ 重要提示:在禁用密码登录前,务必在新终端窗口测试密钥登录是否成功,确认无误后再重启SSH服务。否则配置出错可能导致无法登录。
🕵️ 玩个“捉迷藏”:修改默认SSH端口SSH默认的端口人尽皆知,是自动化扫描工具的重点目标。我们可以把它改成一个不常用的端口号(比如大于的端口),减少被“围观”的概率。
编辑SSH配置文件:sudo nano /etc/ssh/sshd_config
找到 #Port 这行,去掉 #,将 改为你选的端口号,例如 。
保存并重启SSH服务。
注意:修改端口后,防火墙需相应设置,允许新端口的连接。并且,下次连接时需指定端口,如 ssh -p myadmin@你的VPS_IP。
🛡️ 配置防火墙:聘请一位“铁面门卫”防火墙能控制哪些流量可以进出你的VPS。对于新手,UFW(Uncomplicated Firewall) 因其简单易用,是不错的选择。
我常用的UFW设置步骤:
设置默认策略:先拒绝所有入站连接,只允许明确的出站连接。
bash复制sudo ufw default deny incoming sudo ufw default allow outgoing放行必要的端口:务必先放行你修改后的新SSH端口! 这是关键,否则启用防火墙后可能被锁在外面。
bash复制sudo ufw allow /tcp # 替换为你的新SSH端口 sudo ufw allow /tcp # 如果需要HTTP sudo ufw allow /tcp # 如果需要HTTPS(可选但推荐)限制SSH连接尝试频率:sudo ufw limit /tcp可以帮助减缓暴力破解尝试。
启用UFW:sudo ufw enable,然后可用 sudo ufw status查看规则。
🚨 额外加固:FailBan 动态防御FailBan能监控系统日志,当发现某个IP多次认证失败后,会自动将其加入防火墙规则禁止访问一段时间,非常适合应对暴力破解。
安装FailBan:sudo apt update && sudo apt install failban -y
通常默认配置已包含SSH防护,但需确保其监控你设定的新SSH端口。
可以调整封禁策略,如最大重试次数和封禁时间。
💎 我的个人心得VPS安全是一个持续的过程,并非一劳永逸。对我而言,以上几点是基础且至关重要的。完成这些设置,你的VPS安全性已经超过了相当一部分新手。
最后提醒大家:在进行任何关键配置修改(尤其是SSH相关)前,最好保持一个当前的连接会话不要关闭,作为“保险通道”,待测试新配置无误后再断开,防止配置失误导致无法登录。
希望这些大白话的讲解能帮你踏出VPS安全的第一步。如果你在设置过程中遇到具体问题,或者有自己独特的安全小技巧,欢迎在评论区分享交流呀!😊
免责声明:网所有文字、图片、视频、音频等资料均来自互联网,不代表本站赞同其观点,内容仅提供用户参考,若因此产生任何纠纷,本站概不负责,如有侵权联系本站删除!邮箱:207985384@qq.com https://www.ainiseo.com/hosting/53569.html
