香港服务器的安全性至关重要,若配置不当,可能会被黑客攻击、数据泄露,甚至被用作DDoS攻击的跳板。本文将从基础到高级,详细讲解香港服务器的安全设置,适用于不同层次的用户。
第一部分:基础安全配置
1. 选择安全的服务器提供商
选择香港服务器时,建议关注以下安全相关参数:
- DDoS防护:部分服务商提供基础或高级DDoS防护,如阿里云、腾讯云、Zenlayer等。
- 防火墙支持:查看是否提供硬件或软件防火墙。
- 数据中心安全性:选择ISO 27001认证的数据中心,提高物理安全性。
2. 设置强密码和SSH密钥
修改默认密码:服务器初始密码一般较弱,建议使用至少12位,包含大小写字母、数字、特殊字符的强密码。
禁用密码登录,启用SSH密钥:
1. 在本地生成SSH密钥:
ssh-keygen -t rsa -b 4096 -f ~/.ssh/hk_server_key
2. 上传公钥到服务器:
ssh-copy-id -i ~/.ssh/hk_server_key.pub root@your_server_ip
3. 修改`/etc/ssh/sshd_config`:
PasswordAuthentication no
4. 重启SSH服务:
systemctl restart sshd
3. 修改默认SSH端口
默认的22端口易受攻击,可修改为非标准端口:
1. 编辑SSH配置:
nano /etc/ssh/sshd_config
2. 修改:
Port 2222
3. 重启SSH:
systemctl restart sshd
4. 配置防火墙(UFW 或 iptables)
使用 UFW(适用于 Ubuntu/Debian)
apt install ufw -y
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp # 允许 SSH 连接(改为你修改后的端口)
ufw allow 80/tcp # 允许 HTTP
ufw allow 443/tcp # 允许 HTTPS
ufw enable
ufw status
使用 iptables(适用于 CentOS/RHEL)
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP
service iptables save
service iptables restart
5. 关闭不必要的端口和服务
检查当前运行的端口:
netstat -tulnp
如发现不需要的服务(如 Telnet、FTP),可以关闭:
systemctl stop telnet
systemctl disable telnet
第二部分:高级安全配置
6. 启用 Fail2Ban 防止暴力破解
Fail2Ban 可以自动封禁多次失败的登录尝试:
apt install fail2ban -y # Ubuntu/Debian
yum install fail2ban -y # CentOS
配置 SSH 保护:
nano /etc/fail2ban/jail.local
添加:
[sshd]
enabled = true
port = 2222
maxretry = 5
findtime = 10m
bantime = 1h
启用 Fail2Ban:
systemctl restart fail2ban
systemctl enable fail2ban
7. 配置 SELinux(CentOS用户)
检查 SELinux 状态:
sestatus
如果状态为 `disabled`,可以开启:
setenforce 1
或者修改 `/etc/selinux/config`:
SELINUX=enforcing
然后重启服务器。
8. 设置自动安全更新
Ubuntu/Debian:
apt install unattended-upgrades -y
dpkg-reconfigure --priority=low unattended-upgrades
CentOS:
yum install yum-cron -y
systemctl enable yum-cron
systemctl start yum-cron
第三部分:网络层安全
9. 配置 Cloudflare 保护网站
如果使用香港服务器托管网站,可启用 Cloudflare 以隐藏服务器 IP,并启用 Web 防火墙(WAF):
①注册 Cloudflare 并添加网站。
②启用DDoS 保护和WAF 规则。
③在服务器防火墙中仅允许 Cloudflare IP 访问网站:
ufw allow from 173.245.48.0/20 to any port 80
ufw allow from 173.245.48.0/20 to any port 443
10. 启用 VPN 保护服务器访问
为 SSH 访问配置 VPN(如 WireGuard):
apt install wireguard -y
wg genkey | tee privatekey | wg pubkey > publickey
然后配置 `/etc/wireguard/wg0.conf` 并启用 VPN。
第四部分:数据安全
11. 配置自动备份
建议使用rsync + cron进行每日备份:
crontab -e
添加:
0 3 * * * rsync -avz /data/ root@backup_server:/backup/
此外,可使用阿里云 OSS、AWS S3进行异地备份。
12. 启用磁盘加密
apt install cryptsetup -y
cryptsetup luksFormat /dev/sdb
cryptsetup luksOpen /dev/sdb encrypted_disk
通过上面这些配置方法,我们可以有效提高香港服务器的安全性,你的香港服务器将具备较强的安全防护能力,能够抵御大部分常见攻击。如果你有更高的安全需求,建议结合企业级 WAF、专用 DDoS 防护,进一步增强安全性!
