香港VPS服务器如何配置和优化服务器安全策略？-网硕互联

香港VPS服务器如何配置和优化服务器安全策略？

2025-08-21 14:09

by 管理员

阅读量：45

配置和优化香港VPS服务器的安全策略对于保护数据和业务至关重要。

1. 配置服务器基础安全策略

1.1 禁用 Root 用户登录

Root 用户权限过高，容易成为攻击目标。

步骤

编辑 SSH 配置文件：
bash
```
sudo nano /etc/ssh/sshd_config
```
查找并修改以下设置：
plaintext
```
PermitRootLogin no
```
重启 SSH 服务：
bash
```
sudo systemctl restart sshd
```

创建新用户并赋予 sudo 权限：

bash

sudo adduser newuser
sudo usermod -aG sudo newuser

1.2 修改默认 SSH 端口

默认的 SSH 端口（22）容易被暴力破解工具扫描。

步骤

编辑 SSH 配置文件：
bash
```
sudo nano /etc/ssh/sshd_config
```
修改默认端口号（如改为 2222）：
plaintext
```
Port 2222
```
更新防火墙规则以开放新端口：
bash
```
sudo ufw allow 2222/tcp
```
重启 SSH 服务：
bash
```
sudo systemctl restart sshd
```
测试新端口后关闭旧端口：
bash
```
sudo ufw delete allow 22/tcp
```

1.3 使用 SSH 密钥登录

密码认证容易被暴力破解，建议使用 SSH 公钥认证。

步骤

在本地生成 SSH 密钥对：
bash
```
ssh-keygen -t rsa -b 4096
```

将公钥上传到服务器：

bash

ssh-copy-id -p 2222 newuser@<server_ip>

禁用密码登录：
编辑 /etc/ssh/sshd_config：
plaintext
```
PasswordAuthentication no
```
重启 SSH 服务：
bash
```
sudo systemctl restart sshd
```

1.4 配置防火墙

防火墙可以限制不必要的访问。

使用 UFW（Ubuntu/Debian）

安装并启用 UFW：

bash

sudo apt install ufw -y
sudo ufw enable

配置规则：

bash

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp  # SSH 新端口
sudo ufw allow 80/tcp    # HTTP
sudo ufw allow 443/tcp   # HTTPS

检查规则状态：
bash
```
sudo ufw status
```

使用 firewalld（CentOS/RHEL）

启用 firewalld：

bash

sudo systemctl start firewalld
sudo systemctl enable firewalld

配置规则：

bash

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

2. 高级安全优化

2.1 安装 Fail2ban

Fail2ban 自动封禁多次失败登录的 IP，防止暴力破解。

步骤

安装 Fail2ban：

Ubuntu/Debian：
bash
```
sudo apt install fail2ban -y
```

CentOS/RHEL：

bash

sudo yum install epel-release -y
sudo yum install fail2ban -y

创建本地配置文件：

bash

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

配置 SSH 规则：
编辑 /etc/fail2ban/jail.local：
plaintext
```
[sshd]
enabled = true
port = 2222
maxretry = 5
bantime = 3600
```

启动 Fail2ban：

bash

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

查看封禁状态：
bash
```
sudo fail2ban-client status sshd
```

2.2 配置自动安全更新

保持系统和软件更新是预防已知漏洞的重要措施。

Ubuntu/Debian

安装自动更新工具：

bash

sudo apt install unattended-upgrades -y

启用自动更新：

bash

sudo dpkg-reconfigure --priority=low unattended-upgrades

CentOS/RHEL

安装 yum-cron：
bash
```
sudo yum install yum-cron -y
```
启用自动更新：
编辑 /etc/yum/yum-cron.conf，设置：
plaintext
```
apply_updates = yes
```

启动服务：

bash

sudo systemctl start yum-cron
sudo systemctl enable yum-cron

2.3 使用 Web 应用防火墙（WAF）

保护网站免受 SQL 注入、跨站脚本（XSS）等攻击。

安装 ModSecurity

安装 ModSecurity：

Ubuntu/Debian：

bash

sudo apt install libapache2-mod-security2 -y

CentOS/RHEL：
bash
```
sudo yum install mod_security -y
```

启用默认规则：

bash

sudo mv /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf

重启 Web 服务器：

bash

sudo systemctl restart apache2  # Apache
sudo systemctl restart nginx   # NGINX

2.4 安装和配置防病毒软件

虽然 Linux 的病毒威胁较少，但仍需防范恶意文件。

安装 ClamAV

安装 ClamAV：

Ubuntu/Debian：

bash

sudo apt install clamav clamav-daemon -y

CentOS/RHEL：

bash

sudo yum install epel-release -y
sudo yum install clamav clamav-update -y

更新病毒库：
bash
```
sudo freshclam
```
扫描文件：
bash
```
sudo clamscan -r /var/www/html
```

2.5 配置VPS服务器日志监控

监控服务器日志，及时发现异常活动。

安装 Logwatch

安装 Logwatch：
- Ubuntu/Debian：
  bash
  sudo apt install logwatch -y
- CentOS/RHEL：
  bash
  sudo yum install logwatch -y
生成报告：
bash
- Tags:
- 香港VPS服务器,VPS服务器,香港VPS
上一篇：香港服务器租用后如何防范和应对DDoS攻击？

下一篇：香港服务器网站如何诊断服务器硬盘故障？