Linux国外VPS安全基线检测：账户到防火墙全流程检查

使用Linux国外VPS时，安全基线检测是守护系统的第一道防线。经历过深夜被异常登录警报惊醒的人都懂：一次疏忽可能导致数据泄露或服务中断。本文从账户管理、文件权限到进程监控、防火墙配置，手把手教你完成全面安全检查。

一、账户安全：从根源阻断非法访问

新手最易忽视的就是账户管理——曾有用户因忘记删除测试账户，被攻击者利用弱密码登录。
快速排查：用`cat /etc/passwd`查看所有用户（每行代表一个用户，重点看末尾的/bin/bash，这类是可登录用户）。再用`lastlog`命令检查最近登录记录，异常的空登录时间或陌生IP都是风险信号。
加固方法：
- 删掉非必要用户：`userdel -r 用户名`（-r参数会同步删除用户家目录）；
- 重要账户设强密码（必须包含大小写字母+数字+特殊符号，长度≥12位）；
- 定期修改密码：用`chage -M 30 用户名`设置30天强制过期（默认无过期限制）。

二、文件权限：防止"自己人"误操作

遇到过配置文件被普通用户修改导致服务崩溃吗？这大概率是权限设置太松。
快速排查：`ls -l /etc`查看关键目录（如/etc存储系统配置）。注意权限列，例如`-rw-r--r--`表示所有者可读可写，其他用户只读。
加固方法：
- 敏感文件（如/etc/shadow）：`chmod 600 /etc/shadow`（仅所有者可读可写）；
- 业务目录（如/var/www）：`chmod 750 /var/www`（所有者读写执行，所属组只读执行，其他用户无权限）；
- 定期用`find / -perm /777`扫描全系统，揪出权限过松的文件。

三、进程与服务：揪出"后台潜伏者"

CPU突然跑满？可能是恶意进程在偷偷挖矿。
快速排查：
- 用`top`命令实时监控（按M键看内存占用，按P键看CPU占用）；
- 查异常网络连接：`netstat -tulnp | grep -v "127.0.0.1"`（过滤本地连接，看外部IP）；
- 服务自启检查：`systemctl list-unit-files --type=service | grep enabled`（列出开机自启服务）。
加固方法：
- 停掉无用服务：`systemctl disable --now 服务名`（禁用并停止）；
- 杀恶意进程：先用`kill 进程ID`温和终止，无效再`kill -9 进程ID`强制结束；
- 装进程监控工具（如htop），比原生top更直观。

四、防火墙：构建网络第一道屏障

曾有用户因开放全端口，导致VPS被暴力破解SSH。
快速排查：`iptables -L -n -v`查看当前规则（-n显示IP不解析，-v显示详细计数）。重点看INPUT链，默认策略应为DROP（拒绝所有未允许的请求）。
加固方法：
- 只开必要端口（如SSH 22、HTTP 80）：`iptables -A INPUT -p tcp --dport 22 -j ACCEPT`；
- 限制SSH暴力破解：`iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set`（记录新连接），`iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP`（60秒内5次连接直接拒绝）；
- 保存规则：`iptables-save > /etc/iptables.rules`（避免重启失效）。

完成这四轮检查，你的Linux国外VPS基本能抵御常见攻击。记住：安全不是一次性工程，建议每周用`logwatch`生成安全日志报告，每月手动复查关键配置。毕竟，稳定运行的VPS，才是高效开展业务的基石。