本文为使用香港vps的用户提供一套可执行的安全配置要点,涵盖从防火墙选择、端口与服务筛选、SSH与账号权限设置,到日志审计与常规维护的具体步骤与建议,帮助快速降低被攻陷风险并提高运维可控性。
首先要完成的包括:启用主机级防火墙(如iptables、nftables或ufw)、仅开放必要端口(HTTP/HTTPS、SSH等),关闭不必要服务,配置基于角色的用户和组权限,限制root直接登录,并为关键目录设置正确的文件权限与SELinux/AppArmor策略。这些是最基础的安全线。
选择取决于技术栈与熟悉度:若偏好简单配置,可选ufw(Ubuntu友好);需要更复杂规则和表/链管理可用iptables或nftables;追求分布式防护可结合云端防火墙服务与WAF。关键是规则清晰、日志可审计并定期备份规则集。
建议步骤:1) 先制定白名单策略,允许业务必需端口;2) 禁止所有入站默认策略,允许出站或按需放行;3) 针对SSH做速率限制与仅允许特定IP访问;4) 持久化并测试规则(重启生效);5) 配置告警以便异常连接被快速发现。

SSH配置文件(/etc/ssh/sshd_config)是首要入口,建议关闭PermitRootLogin,使用公私钥认证,限制密码登录,修改默认端口(非必要时保留默认端口并用防火墙白名单限制),结合fail2ban或类似工具防止暴力破解。在控制面板或云服务商的控制台也应开启安全组规则。
不当的用户权限或宽松的文件权限会使攻击者在突破单一服务后横向移动或持久化。通过最小权限原则分配账号权限、为敏感目录和配置文件设定600/640权限、使用sudo策略精细授权,以及定期审查用户列表和SSH公钥,可以显著降低内部滥用与权限被利用的风险。
应开启系统日志与防火墙日志集中采集(如rsyslog、syslog-ng或ELK),对SSH登录、sudo使用、异常端口访问设置告警。定期更新补丁、备份防火墙规则与关键配置、运行权限检查脚本并进行渗透测试或漏洞扫描,确保配置随业务变化及时调整。