今天跟大家聊聊我搞“防爆户口”的事儿,别想歪了,不是真的户口,是我自己捣鼓的一个服务器安全配置,让它能扛得住一般的攻击,稳定运行,就像给服务器上了个“防爆险”。
我那台服务器简直就是个裸奔的小姑娘,啥保护措施都没有。端口随便开,密码弱得要死,日志也不看,简直就是黑客眼里的肥肉。结果,没过几天就被盯上了,各种扫描、爆破,CPU直接干到100%,网站慢得跟蜗牛爬一样。
痛定思痛,我决定好好给它“上户口”。
我把所有不必要的端口全关了。用 `ufw` 这个防火墙工具,只开了 `80`、`443` 和 `22` 这几个常用的端口。命令就像这样:
bash
sudo ufw enable
sudo ufw default deny incoming
sudo ufw allow 80
sudo ufw allow 443
sudo ufw allow 22
sudo ufw enable
这样一来,大部分的扫描就进不来了,就像给房子装了个铁门。
我把SSH的默认端口 `22` 改成了其他的端口,例如 `2233`。改 `sshd_config` 文件,找到 `#Port 22` 这一行,把注释去掉,改成 `Port 2233`,然后重启 `ssh` 服务。
bash
sudo nano /etc/ssh/sshd_config
sudo systemctl restart sshd
这招很有效,直接挡住了一大批脚本小子。
然后,我把SSH登录方式改成了密钥登录,禁止密码登录。这样,即使黑客知道了你的用户名,没有密钥也进不来。生成密钥用 `ssh-keygen` 命令,然后把公钥复制到服务器的 `~/.ssh/authorized_keys` 文件里。
bash
ssh-keygen -t rsa -b 4096
改 `sshd_config` 文件,设置 `PasswordAuthentication no` 和 `PermitRootLogin no`。
bash
sudo nano /etc/ssh/sshd_config
sudo systemctl restart sshd
这步非常关键,大大提高了安全性。
再之后,我装了 `fail2ban` 这个神器。它可以自动检测恶意登录,并把尝试登录的IP地址给ban掉。安装和配置都很简单,网上教程一大堆。
bash
sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
我还稍微调整了一下 `fail2ban` 的配置,增加了 `bantime` 和 `maxretry` 的数值,让ban的时间更长,检测更严格。
我设置了定期的日志审计。每天晚上定时分析服务器的日志文件,看看有没有异常情况。用 `logwatch` 或者自己写个简单的脚本都可以。
折腾了这么一圈下来,我的服务器总算是安全多了。虽然不敢说绝对安全,但至少一般的攻击是挡得住了。CPU占用率也降下来了,网站也流畅多了,总算是可以安心睡个好觉了。
“防爆户口”不是一劳永逸的,要定期维护和更新。服务器安全这东西,就是个猫捉老鼠的游戏,永远不能掉以轻心。我还会继续学习,继续加强我的服务器安全,争取让它更加坚不可摧。
