CentOS海外VPS：SSH与防火墙安全配置指南

对于跨境电商从业者或技术开发者来说，一台CentOS海外VPS就像部署在海外的数字基地——既能快速响应全球用户需求，又需时刻防范网络风险。如何安全远程登录？怎样设置防火墙拦截恶意访问？掌握SSH与防火墙规则是关键。

SSH：远程管理的安全钥匙

SSH（Secure Shell，安全外壳协议）是远程操控海外VPS的核心工具。在公共Wi-Fi或不可信网络环境下，它能像加密保险箱一样，确保你输入的账号密码、操作指令不被截获。

首次连接时，你需要VPS的公网IP、用户名和初始密码。Windows用户可通过PuTTY工具，Mac/Linux用户直接打开终端，输入命令：

ssh username@your_server_ip

输入密码验证通过后，就能看到熟悉的命令行界面。这一步像用钥匙打开基地大门，但仅靠密码不够安全——曾有用户因使用弱密码，VPS被暴力破解植入挖矿程序。

更稳妥的方式是使用SSH密钥对。它相当于“钥匙+门锁”的双重保险：私钥由你随身携带（绝不外传），公钥存放在VPS中。生成密钥对只需一行命令：

ssh-keygen -t rsa -b 4096

（-t指定算法，-b设置密钥长度，4096位更安全）按提示完成后，本地会生成`~/.ssh/id_rsa`（私钥）和`~/.ssh/id_rsa.pub`（公钥）。接着用`ssh-copy-id username@your_server_ip`将公钥传到VPS，之后登录无需输密码，安全性大幅提升。某跨境团队曾因多人共享密码导致泄露，改用密钥对后再未出现类似问题。

Firewalld：VPS的智能门卫

光有安全登录还不够，海外VPS暴露在公网中，需用防火墙过滤非法流量。CentOS默认的Firewalld就像智能门卫，能按规则放行或拦截特定端口、IP的访问。

基础操作

- 检查状态：`systemctl status firewalld`（running表示已启动）
- 启动服务：`systemctl start firewalld`（临时生效）
- 开机自启：`systemctl enable firewalld`（避免重启后失效）

规则配置实战

假设你要部署一个测试网站，需开放80（HTTP）和443（HTTPS）端口，同时保留SSH（默认22端口）。操作步骤如下：
1. 永久添加SSH服务：`firewall-cmd --permanent --add-service=ssh`
2. 开放HTTP/HTTPS端口：`firewall-cmd --permanent --add-service=http --add-service=https`
3. 重载规则生效：`firewall-cmd --reload`

若后续需要限制某IP段访问，比如只允许公司办公网（192.168.1.0/24）连接22端口，可执行：

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' service name='ssh' accept"

某开发者曾因未限制SSH端口，VPS被扫描到22端口后遭遇暴力破解，添加IP白名单规则后攻击日志大幅减少。

规则管理技巧

- 查看当前规则：`firewall-cmd --list-all`（可快速检查是否遗漏配置）
- 删除多余规则：`firewall-cmd --permanent --remove-port=8080/tcp`（比如测试完的临时端口）
- 重置防火墙：`firewall-cmd --complete-reload`（修改复杂规则后使用，保留当前连接）

从远程登录到流量管控，SSH与Firewalld共同构建了CentOS海外VPS的安全防线。掌握这些操作，不仅能避免密码泄露、端口滥用等常见风险，更能让你的海外数字基地稳定运行，为跨境业务或技术项目提供可靠支撑。