使用CentOS美国VPS必做的安全防护配置

使用CentOS系统的美国VPS时，基础安全防护配置是保障业务稳定运行的前提。本文整理了四项关键操作，帮助新手用户快速构建安全防线。

第一步：完成系统软件更新

系统软件更新是安全防护的第一步。CentOS官方会定期推送包含安全补丁和性能优化的更新包，及时安装这些更新能从底层减少漏洞风险。执行以下命令即可完成：

yum update -y

其中`-y`参数会自动确认所有更新操作，无需手动干预。建议首次登录美国VPS后优先执行此步骤，确保系统处于最新安全状态。

第二步：配置Firewalld防火墙

作为CentOS 7及以上版本的默认防火墙工具，Firewalld能通过规则控制网络访问。操作分三步：
1. 启动并设置开机自启：

systemctl start firewalld
systemctl enable firewalld

2. 按需开放服务端口。例如保留SSH（默认22端口）、开启HTTP/HTTPS服务：

firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https

3. 重新加载规则生效：

firewall-cmd --reload

注意：未开放的端口会被默认拦截，生产环境建议仅开放必要服务端口。

第三步：强化SSH远程管理

SSH是管理美国VPS的核心工具，默认配置存在安全隐患，需重点优化：
- 修改默认端口：编辑`/etc/ssh/sshd_config`，将`Port 22`改为非默认值（如2222），降低被暴力破解概率。
- 禁用root直接登录：同一文件中找到`PermitRootLogin yes`，修改为`PermitRootLogin no`，强制使用普通用户登录后再提权。
- 启用密钥认证：本地生成公私钥对（`ssh-keygen`），将公钥内容追加到服务器`~/.ssh/authorized_keys`文件。完成后可禁用密码登录（`PasswordAuthentication no`），彻底避免密码泄露风险。
所有修改完成后需重启服务生效：

systemctl restart sshd

第四步：安装Fail2Ban入侵检测

Fail2Ban能监控系统日志，对异常登录行为自动封禁IP。安装配置步骤如下：
1. 安装工具：

yum install fail2ban -y

2. 复制并编辑配置文件：

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vi /etc/fail2ban/jail.local

3. 在`[ssh]`部分设置规则（示例）：

[ssh]
enabled  = true   # 启用规则
port     = ssh    # 监控SSH端口
filter   = sshd   # 使用sshd过滤器
logpath  = /var/log/secure  # 日志路径
maxretry = 3      # 最大尝试次数
bantime  = 3600   # 封禁时间（秒）

4. 启动并设置自启：

systemctl start fail2ban
systemctl enable fail2ban

配置后，连续3次错误登录会触发IP封禁1小时，有效抵御暴力破解攻击。

完成上述四项基础配置后，CentOS美国VPS的安全防护能力将得到显著提升，能有效降低被暴力破解、恶意扫描等攻击的风险，为业务稳定运行提供更可靠的环境。日常使用中建议定期检查防火墙规则、查看Fail2Ban日志，并保持系统更新，形成持续的安全维护习惯。