VPS保护流程 - woioeow's blog

以下操作均在debian12中操作

创建普通用户#

1
useradd -m -s /usr/bin/bash <username>
2
# -m: 创建用户目录
3
# -s <shell>: 指定shell
4
# 若没有添加-s参数使用以下命令
5
# user -s /usr/bin/bash <username>

添加密码#

1
passwd <username>

使用root权限#

如果没有sudo，先安装

1
vim /etc/sudoers

找到root ALL=(ALL:ALL) ALL这行，复制粘贴到下一行，把root改为

使用su <username>可切换用户

上传公共密钥#

客户端#

创建.ssh目录#

在“C:\Users<username>或/home/`创建.ssh目录

1
# Windows
2
md .ssh
3
# Mac or Linux
4
mkdir .ssh

生成密钥#

1
# key name随便填
2
ssh-keygen -t ed25519 -C "<key name>"

按三次回车，密钥即可创建成功

上传密钥到服务器#

ssh默认端口为22

1
# Windows
2
scp -P <port> C:\Users\<username>\.ssh\id_ed25519.pub <普通用户名>@<域名或服务器IP>:~/.ssh/authorized_keys
3
# Linux or Mac
4
scp -P <port> ~/.ssh/id_ed25519.pub <普通用户名>@<域名或服务器IP>:~/.ssh/authorized_keys

服务端#

赋予密钥文件权限

1
chmod 600 authorized_keys

到这里已经可以使用密钥登陆了

SSH修改端口#

端口共有35536个，范围0-65535

1
sudo vim /etc/ssh/sshd_config

修改以下内容

1
Port <随机ssh端口>
2
PermitRootLogin no #禁用root用户登录
3
PasswordAuthentication no #禁用密码登录
4
PubkeyAuthentication yes #允许公钥认证
5
AddressFamily inet #sshd不监听ipv6端口

重启服务

1
sudo systemctl restart ssh

UFW 防火墙配置#

启用防火墙

1
sudo ufw enable

允许端口

1
sudo ufw limit from 0.0.0.0/0 to any port <ssh端口> proto tcp # 只开放ipv4端口，limit限速
2
sudo ufw allow 443/tcp
3
sudo ufw allow 80/tcp

禁用端口

1
sudo ufw deny <port>/<udp or tcp>

载入规则

1
sudo ufw reload

查看规则
Terminal window
1
sudo ufw status
删除规则
Terminal window
1
sudo ufw status numbered
2
sudo ufw delete <序号>
禁用防火墙
Terminal window
1
sudo ufw disable

禁用Ping#

1
sudo vim /etc/ufw/before.rules

搜echo-request，这有两个，把有input的那行的ACCEPT改成DROP

载入规则

1
sudo ufw reload

创建虚拟内存#

1
sudo fallocate -l 512M /swap
2
sudo chmod 600 /swap
3
sudo mkswap /swap
4
sudo swapon /swap
5
echo '/swap none swap sw 0 0' | sudo tee -a /etc/fstab

验证

1
free -h
2
sudo swapon --show

在/etc/sysctl.conf里追加vm.swappiness=10

使用以下命令载入规则

1
sudo sysctl -p

添加Sysctl规则#

1
sudo vim /etc/sysctl.conf

追加规则

1
net.core.default_qdisc = fq
2
net.ipv4.tcp_congestion_control = bbr
3
net.ipv4.tcp_mtu_probing = 1
4
net.ipv4.tcp_slow_start_after_idle = 0
5
net.ipv4.tcp_syncookies = 1

载入规则

1
sudo sysctl -p

Fail2ban#

防止ssh被暴力破解

安装fail2ban

1
sudo apt update && sudo apt install fail2ban

复制文件

1
cd /etc/fail2ban
2
cp fail2ban.conf fail2ban.local
3
vim fail2ban.local

添加内容

1
[sshd]
2
enabled = true
3
port = <SSH port>
4
filter = sshd
5
logpath = /var/log/auth.log
6
backend = auto
7

8
maxretry = 3
9
findtime = 10m
10
bantime  = 7d
11

12
bantime.increment = true
13
bantime.factor = 2
14
bantime.maxtime = 30d

创建日志文件

1
sudo mkdir /var/log/auth.log

重启fail2ban

1
sudo systemctl enable fail2ban
2
sudo systemctl restart fail2ban

查看状态

1
sudo fail2ban-client status
2
sudo fail2ban-client status sshd

解除指定IP
Terminal window
1
sudo fail2ban-client set sshd unbanip <被禁用的IP>

修改日志大小上限#

1
sudo vim /etc/systemd/journald.conf

修改以下参数

1
SystemMaxUse=200M
2
SystemKeepFree=500M
3
MaxRetentionSec=7day

重启服务

1
sudo systemctl restart systemd-journald
2
sudo systemctl status systemd-journald

时间同步#

1
sudo apt update && sudo apt install chrony
2

3
sudo systemctl enable --now chrony
4
chronyc tracking

自动安全更新#

小型VPS不建议，占资源

1
sudo dpkg-reconfigure -plow unattended-upgrades