美国VPS装Linux后必做的10项安全配置
文章分类:更新公告 /
创建时间:2025-11-29
美国VPS装Linux后必做的10项安全配置
用美国VPS安装Linux系统后,很多用户急着部署业务,却容易忽略基础安全配置。这些操作看似简单,却是抵御暴力破解、漏洞攻击的第一道防线。以下10项配置,能帮你快速筑牢系统安全边界。
第一步:立即更新系统软件包
新安装的Linux系统,软件包可能携带已知漏洞。比如旧版OpenSSH曾被曝出“认证绕过”漏洞,攻击者可借此直接登录服务器。建议安装后第一时间执行更新:Debian/Ubuntu用“sudo apt update && sudo apt upgrade”,CentOS/RHEL用“sudo yum update”。某企业曾因未及时更新美国VPS上的Linux软件包,导致旧版SSH服务被利用,后续通过定期更新机制有效规避了类似风险。
第二步:调整SSH默认连接端口
SSH默认监听22端口,是扫描工具的重点目标。修改端口能大幅降低被暴力破解的概率。操作时,用“sudo vim /etc/ssh/sshd_config”打开配置文件,找到“Port 22”行,将22改为10000-65535间的未用端口(如2222)。保存后执行“sudo systemctl restart sshd”(CentOS用sshd服务名)重启生效。
第三步:禁用root远程登录
root拥有最高权限,远程直接登录风险极大。在sshd_config文件中找到“PermitRootLogin yes”,改为“PermitRootLogin no”。之后用普通用户登录,通过“sudo 命令”临时提权。需注意,修改前要确保普通用户已配置sudo权限,避免无法登录的情况。
第四步:设置强密码策略
弱密码是暴力破解的主要突破口。密码需包含大小写字母、数字、特殊符号(如!@#),长度至少12位。可通过“passwd 用户名”命令修改密码,系统会自动检测复杂度。企业级场景建议启用密码过期策略(如30天强制修改),用“chage -M 30 用户名”设置。
第五步:安装并配置防火墙
防火墙能过滤非法流量,推荐用UFW(Uncomplicated Firewall,适用于Ubuntu/Debian)或Firewalld(CentOS7+)。以UFW为例,安装命令“sudo apt install ufw”,先允许SSH连接“sudo ufw allow 2222/tcp”(假设修改后的端口是2222),再启用防火墙“sudo ufw enable”。最后用“sudo ufw status”检查规则是否生效。
第六步:限制SSH登录尝试次数
即使修改了端口,仍可能被针对性扫描。安装fail2ban工具可自动封禁暴力破解IP。命令“sudo apt install fail2ban”安装后,编辑/etc/fail2ban/jail.local文件,在[sshd]部分添加“maxretry = 5”(5次失败封禁)、“findtime = 600”(10分钟内计数),“bantime = 3600”(封禁1小时)。重启服务“sudo systemctl restart fail2ban”生效。
第七步:关闭非必要服务
每多运行一个服务,就多一个攻击面。用“systemctl list-units --type=service --state=running”查看当前服务,关闭不用的如telnet、ftp(除非业务需要)。禁用命令“sudo systemctl disable 服务名”,停止运行“sudo systemctl stop 服务名”。
第八步:启用强制访问控制
SELinux(Security-Enhanced Linux)或AppArmor是Linux的强制访问控制模块,能限制程序的权限范围。CentOS默认启用SELinux,可通过“getenforce”查看状态,建议设为“Enforcing”模式;Ubuntu推荐启用AppArmor,用“sudo aa-enforce 配置文件”激活特定应用的防护策略。
第九步:定期备份核心数据
再完善的防护也无法100%避免数据丢失,定期备份是最后一道保险。用rsync命令增量备份:“rsync -avz --delete /数据目录/ 备份目录/”,或配置定时任务(crontab)每日执行。重要数据建议异机备份,美国VPS用户可将备份文件存至对象存储或另一台低配置VPS。
第十步:监控系统日志排查异常
日志是发现攻击痕迹的关键。用“journalctl -u sshd”查看SSH登录日志,“dmesg”查看内核事件,“tail -f /var/log/auth.log”实时监控认证行为。若发现大量失败登录尝试,可能是暴力破解攻击;异常进程启动日志,需检查是否被植入木马。
完成这10项配置后,美国VPS上的Linux系统安全性将大幅提升。安全防护是动态过程,建议每月复查配置、更新补丁,让服务器始终处于“防御在线”状态。
工信部备案:苏ICP备2025168537号-1