每次新开一台服务器,上线前都会过一遍这个清单。
SSH 加固
- 禁用密码登录,只用密钥
- 改默认端口(虽然安全性有限,但能减少扫描噪音)
- 禁止 root 直接登录
# /etc/ssh/sshd_config
PasswordAuthentication no
Port 2222
PermitRootLogin no
防火墙
用 ufw 简单配置:
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
自动安全更新
apt install unattended-upgrades
dpkg-reconfigure -plow unattended-upgrades
Fail2Ban
装上 fail2ban 防暴力破解,默认配置就够用。