云服务器安全防护设置,新手必做的10项加固(实操版)
刚入手云服务器的新手,最怕的就是被黑客“教做人”。很多教程讲得云里雾里,我就直接结合实操经验,把最关键的10项安全加固步骤写清楚。跟着做一遍,你的服务器就没那么容易被人“搬砖”了。
1. 禁用root直接登录,改用普通用户+sudo
很多新手图省事,全程用root操作。这是最危险的习惯。黑客一旦破解root密码,服务器就彻底没了。
操作步骤:
- 先创建一个普通用户:
adduser yourname - 赋予sudo权限:
usermod -aG sudo yourname - 编辑SSH配置文件:
vim /etc/ssh/sshd_config - 找到
PermitRootLogin,改为PermitRootLogin no - 重启SSH服务:
systemctl restart sshd
避坑提醒: 不要退出当前root会话,另开一个终端用新用户连接测试。确认能正常sudo后再关掉root会话。否则你可能把自己锁在门外。
2. 修改SSH默认端口并限制登录尝试
默认22端口是黑客扫描的重点目标。改掉端口能过滤掉90%的自动扫描攻击。
操作步骤:
- 编辑SSH配置文件,找到
#Port 22,去掉注释改成比如Port 2222 - 设置登录失败次数限制,添加:
MaxAuthTries 3 MaxSessions 2 - 重启SSH服务后,记得在云服务器的安全组/防火墙里放行新端口,关闭22端口
配置建议: 端口号选一个不常见的四位数或五位数,但别选2222这种太明显的。
3. 配置防火墙,只放过必要端口
很多服务器被攻击是因为开放了太多端口。我见过新手把所有端口都放开的,简直是把家门敞开了。
操作步骤(以UFW为例):
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp # 你改后的SSH端口
ufw allow 80/tcp # HTTP
ufw allow 443/tcp # HTTPS
ufw enable
避坑提醒: 启用UFW前,一定先确保已经放行了SSH端口。不然你连都连不上服务器了。
4. 配置SSH密钥登录,禁用密码认证
密码认证容易被暴力破解,密钥认证基本不可能被攻破。
操作步骤:
- 本地生成密钥:
ssh-keygen -t ed25519 - 将公钥传到服务器:
ssh-copy-id -p 2222 yourname@your_server_ip - 编辑SSH配置文件,设置:
PasswordAuthentication no PubkeyAuthentication yes
注意: 建议保留一个备用云服务器管理面板的VNC或网页终端访问权限,万一密钥丢了还能救回来。
5. 自动安装安全更新
系统漏洞往往是攻击的入口。新手最容易忽视的就是更新。
操作步骤:
apt install unattended-upgrades
dpkg-reconfigure --priority=low unattended-upgrades
选择“是”,系统就会自动安装安全更新。
避坑提醒: 生产环境建议只启用安全更新,不要自动更新其他软件,防止兼容性问题。
6. 配置Fail2ban防御暴力登录
Fail2ban会监控日志,对频繁失败的IP进行临时封禁。
操作步骤:
apt install fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
systemctl enable fail2ban
systemctl start fail2ban
配置建议: 修改jail.local中的bantime为3600(1小时),maxretry为3次。
7. 关闭不需要的服务端口
用命令检查服务器上开了哪些端口:
netstat -tulpn | grep LISTEN
如果看到不像你安装的服务在监听,就要排查了。
常见做法:
- 不需要IPv6就禁用
- 不需要FTP、telnet等老服务就直接卸载
- 数据库只监听内网地址
8. 设置日志审计与定期巡检
出事时没日志,等于白干。配置系统日志记录关键操作。
操作步骤:
- 安装
auditd:apt install auditd - 设置监控关键文件修改:
auditctl -w /etc/passwd -p wa -k passwd_changes - 配置日志轮转,防止日志撑爆磁盘
9. 备份策略绝不能省
安全做得再好,也可能遇到惨绝人寰的事故。备份是最后防线。
操作建议:
- 数据库每天自动备份到异地
- 配置文件保留多版本
- 关键数据做快照
避坑提醒: 备份要定期测试恢复。我见过有人备份了一年,恢复时才发现文件损坏。
10. 使用专业云服务商的安全能力
讲实在的,自己搭安全环境总归有疏漏。选择一个有配套安全服务的云服务器供应商,能少走很多弯路。
沐雨云服务器在安全这块做得比较厚道。他们的镜像预装了基础的安全配置,你买来就自带防火墙策略和Fail2ban模板,不用从头折腾。而且后台有DDoS清洗和入侵检测,日志保留时间长,出了事能追溯。对于新手来说,省心不少。
沐雨云服务器官网是:
https://www.muyuyun.cn
最后多说一句: 安全防护不是一次性的工作。你需要每周花10分钟看看登录日志、检查更新、测试备份。坚持一个月,你的服务器就基本稳了。别怕麻烦,被黑了才是真麻烦。