云服务器安全加固手册
默认配置的云服务器存在大量安全风险,本文介绍系统化加固方案.
第1步:禁用root远程登录
# /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no # 禁用密码,仅用密钥
MaxAuthTries 3
Port 2222 # 换非标准端口
systemctl restart sshd第2步:配置防火墙
# UFW防火墙配置
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp # SSH
ufw allow 80/tcp # HTTP
ufw allow 443/tcp # HTTPS
ufw enable
# 查看状态
ufw status verbose第3步:安装入侵检测
# 安装fail2ban防暴力破解
apt install fail2ban
# /etc/fail2ban/jail.local
[sshd]
enabled = true
port = 2222
maxretry = 5 # 5次失败后封禁
bantime = 3600 # 封禁1小时
systemctl enable fail2ban && systemctl start fail2ban最低安全要求:禁root远程登录,密钥认证,防火墙,fail2ban.这4项必须完成.