VPS服务器安全基线配置与加固实操指南

VPS服务器（虚拟专用服务器，通过虚拟化技术在物理服务器上划分出的独立虚拟计算资源）作为个人开发者、中小企业的核心业务载体，其安全稳定性直接影响业务正常运行。筑牢安全防线，从落地每一项安全基线配置开始。

一、基础账号权限加固

1. 禁用root远程登录

root作为系统最高权限账号，直接暴露在公网会成为暴力破解的核心目标。实操步骤如下：

vi /etc/ssh/sshd_config

找到PermitRootLogin项，修改为PermitRootLogin no（若为注释状态需取消注释），保存退出后重启SSH服务生效：

systemctl restart sshd

同时需创建普通权限账号，通过sudo（超级用户权限管理工具）授权执行高权限操作：

adduser safeuser
usermod -aG sudo safeuser

2. 强化账号密码规则

通过系统配置强制密码复杂度与有效期，降低弱密码被破解的风险。
编辑/etc/login.defs文件，修改以下参数：
PASS_MIN_LEN 12 # 密码最小长度设为12位
PASS_MAX_DAYS 90 # 密码有效期90天，到期强制更换
PASS_WARN_AGE 7 # 到期前7天向用户发送更换提醒
检查并禁用空密码账号：执行

awk -F: '$2=="!"' /etc/shadow

，若输出空密码账号，立即用passwd命令设置强密码。

二、网络访问控制加固

VPS服务器的网络端口是外部访问的入口，精准管控能大幅缩小攻击面。

1. 防火墙精准管控端口访问

仅开放业务必需端口，关闭所有非必要端口。以UFW防火墙（Debian/Ubuntu系统默认支持的简易防火墙配置工具）为例：
初始化防火墙规则：

ufw default deny incoming
ufw default allow outgoing

开放业务核心端口（假设SSH已修改为2022端口）：

ufw allow 2022/tcp
ufw allow 80/tcp
ufw allow 443/tcp

启用防火墙并查看状态：

ufw enable
ufw status verbose

2. 防SSH暴力破解与访问限制

限制SSH仅允许指定IP段访问，编辑sshd_config文件，添加AllowUsers safeuser@192.168.1.0/24（替换为你的可信IP段），重启SSH服务生效。
安装Fail2ban（一款用于拦截暴力破解的开源软件）拦截恶意登录：

apt install fail2ban -y
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

编辑jail.local中[sshd]模块：
maxretry = 3 # 连续3次登录失败触发封禁
bantime = 86400 # 封禁时长24小时
enabled = true
重启服务：

systemctl restart fail2ban

三、系统组件与服务加固

VPS服务器的冗余服务与未更新组件，往往是攻击者突破防线的薄弱点。做好这部分加固，能进一步提升服务器安全等级。

1. 自动更新安全补丁

系统未修复的漏洞是攻击者的常用入口，需开启自动安全补丁更新。
Debian/Ubuntu系统：

apt update && apt upgrade -y
apt install unattended-upgrades

执行

dpkg-reconfigure -plow unattended-upgrades

开启自动更新配置。
CentOS系统：

yum update -y
yum install yum-cron -y

编辑/etc/yum/yum-cron.conf，设置update_cmd = security，仅更新安全补丁。

2. 禁用非必需系统服务

先查看当前启用的服务：

systemctl list-unit-files --type=service --state=enabled

禁用telnet、ftp、rpcbind等非业务必需服务：

systemctl disable --now telnet.socket
systemctl disable --now vsftpd

3. 修改SSH默认端口

默认22端口是扫描工具的重点目标，修改为非标准端口。编辑sshd_config文件，修改Port 2022（范围1024-65535，避免与业务端口冲突），重启SSH服务，并同步在防火墙开放该端口。

四、数据安全防护基线

VPS服务器承载的核心数据是业务的核心资产，做好数据安全防护能避免因数据泄露或丢失造成的损失。

1. 定时备份核心数据

配置crontab（Linux系统的定时任务管理工具）定时任务，将网站目录、数据库等核心数据同步至远程存储：

crontab -e

添加每日凌晨2点备份任务：
0 2 * * * rsync -avz /var/www/html/ backupuser@remote-server:/backup/vps/
（需提前配置SSH免密登录，避免备份时手动输入密码）

2. 最小化文件系统权限

针对业务目录设置最小必要权限，防止恶意脚本执行：

chown -R www-data:www-data /var/www/html
chmod -R 755 /var/www/html
chmod -R 644 /var/www/html/*

# 目录仅所有者可写，其他可读可执行；文件仅所有者可写，其他可读

五、定期安全审计与维护

VPS服务器的安全防护不是一劳永逸的，持续的审计与维护能保障安全状态稳定。

1. 系统日志审计

定期检查登录日志与系统日志，排查异常行为：

grep "Failed password" /var/log/auth.log | tail -20
grep "Accepted password" /var/log/auth.log | tail -10

# 分别查看最近20次登录失败记录、最近10次成功登录记录

2. 基线配置复查

每月复查账号权限、防火墙规则、服务状态，确保加固配置未被篡改。同步行业最新安全基线调整防护策略，持续维持VPS服务器的安全状态。