!Hostease 服务器安全防护配置指南封面

运行在公网上的服务器每天都会面对大量扫描和试探——SSH（安全外壳协议）端口被暴力破解、网站被人用DDoS（分布式拒绝服务攻击）打瘫痪、数据库因误操作或勒索软件丢失。如果你管理过哪怕一台 VPS（虚拟专用服务器），大概率都经历过类似的焦虑：安全到底该怎么配？

这篇指南不讲空洞的「安全意识」，只讲命令行怎么敲、规则怎么设、备份脚本怎么写。以 Hostease 服务器环境为例，覆盖三层最基础也最有效的防护手段：DDoS 防护、防火墙规则和自动备份。

DDoS 防护：在攻击到达服务器之前拦住它

DDoS 攻击是服务器最直接的威胁。2025 年 Q1 全球平均攻击峰值已达 1.3 Tbps，单次攻击持续时长普遍在 30 分钟以上。没有防护层的机器，基本几秒内就断联。

选择带防护的入口层

如果你买的是低端主机，IP 通常直连机房——攻击流量直接灌到网卡上，靠服务器本身根本扛不住。正确的做法是在入口层拦截：

启用 DDoS 清洗服务：大多数 IDC 提供硬件清洗（scrubbing），流量先经过清洗集群再进入服务器。确认控制面板里开启了这一项。

配置 CDN（内容分发网络）前置：Cloudflare 免费套餐的 L3/L4 防护就能挡住大部分 10-50 Gbps 的 SYN flood 攻击。如果你的站点是 WordPress，可以直接用 CDN 代理解析。

限速和连接限制：在 Nginx 或 Apache 层面，对单 IP 做速率限制。Nginx 配置示例：

“`
limit_req_zone $binary_remote_addr zone=onelimit:10m rate=30r/s;
server {
location / {
limit_req zone=onelimit burst=50 nodelay;
}
}
“`

这条规则限制单 IP 每秒最多 30 个请求，突发允许 50 个。足以阻挡绝大多数应用层攻击。

在 iptables 层面做快速封禁

当攻击已经打到服务器时，依赖应用层限速就来不及了。需要在更底层做动作：

“`

封禁可疑 IP

iptables -A INPUT -s 192.0.2.0/24 -j DROP

限制 ICMP（互联网控制消息协议）流量防止 ping flood

iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
“`

另外，DDoS 攻击也有类型之分。L3/L4 层的 SYN flood、UDP flood 主要靠清洗设备挡，而 L7 层的 HTTP flood 需要应用层限速和 WAF（Web应用防火墙）配合处理。如果你的业务对实时性要求高（比如在线游戏或视频通话），建议优先选择带有 Anycast 清洗节点的服务商，这样攻击流量在离源站最近的边缘就被分散掉了。

关于不同主机商的 DDoS 防护实际表现差异，可以参考 WHT 社区的美国高防服务器哪家强：DDoS防护能力深度对比，里面有多个机房节点的实测数据。

!DDoS 清洗防护架构示意图

防火墙：别让开放端口成为后门

很多管理员习惯「先开了再说」——MySQL（关系数据库管理系统）端口暴露在公网、SSH 允许密码登录、未使用的服务持续运行。这些是安全审计里最常见的低级错误。

SSH 安全加固

SSH（安全外壳协议）端口是暴力破解的重灾区。以下是经过实际验证的加固步骤：

禁用密码登录，仅保留密钥：编辑 `/etc/ssh/sshd_config`，设置 `PasswordAuthentication no`。部署前先把公钥写入 `~/.ssh/authorized_keys`。密钥生成建议使用 ed25519 算法（`ssh-keygen -t ed25519 -a 100`），比 RSA 4096 更安全且性能更好。

更换非默认端口：把 22 换成 10022 以上，能直接减少 90% 以上的扫描尝试。同时修改 SELinux（安全增强型 Linux）或 AppArmor 配置，确保新端口放行。

安装 fail2ban：5 分钟内连续 3 次登录失败则封禁 IP 24 小时。在 `/etc/fail2ban/jail.local` 里加入：`[sshd] enabled = true; maxretry = 3; bantime = 86400`

控制面板防火墙策略

如果你用的是 cPanel 或宝塔面板，不需要手写 iptables。但要注意几个关键点：

只开放必要端口：HTTP（80）、HTTPS（443）、SSH（自定义端口）。关闭 3306（MySQL）、25（SMTP）、21（FTP）除非业务明确需要。

设置来源 IP 白名单：数据库端口只允许内网 IP 或 VPN（虚拟专用网络）地址访问，不要暴露在 0.0.0.0/0。

定期检查开放端口：用 `netstat -tulpn | grep LISTEN` 每月扫一次本机监听列表，关闭不再需要的服务。

如果你是 WHT 新手，建议先读一下技术教程里的基础防火墙配置文章，从最简单的 UFW 开始上手。

!防火墙分层防护概念图

备份：没有备份的数据不叫数据

安全配置做得再好，也不能 100% 防止数据丢失。误删文件、勒索软件、硬件故障——任何一种情况发生，备份就是你的最后防线。

3-2-1 备份策略

业界公认的标准是「3-2-1」原则：

3：保留 3 份数据副本（1 份生产 + 2 份备份）

2：使用 2 种不同存储介质（例如：本地磁盘 + 远程对象存储）

1：至少 1 份异地存储（不同机房或不同服务商）

自动备份脚本示例

以下是一段适用于 Linux（Linux 操作系统）服务器的全自动备份脚本，通过 cron 定时任务每天执行：

“`bash
#!/bin/bash
BACKUP_DIR=”/backup/$(date +%Y%m%d)”
DB_USER=”root”
DB_PASS=”your_password”

mkdir -p $BACKUP_DIR
mysqldump -u $DB_USER -p$DB_PASS –all-databases | gzip > $BACKUP_DIR/mysql_all.sql.gz
tar -czf $BACKUP_DIR/www.tar.gz /var/www/html/
rsync -avz –delete $BACKUP_DIR user@remote-backup.example.com:/backup/
find /backup/ -type d -mtime +7 -exec rm -rf {} \;
“`

加入 crontab，每天凌晨低负载时段执行：

“`
0 3 * /usr/local/bin/backup.sh
“`

恢复验证这一步很多管理员容易忽略——备份文件定期生成没错，但如果半年没做过一次恢复演练，等真出事时才发现脚本里漏了某个表或者远程存储不可用，就来不及了。建议每季度用临时实例跑一次完整恢复流程，检查数据库是否能正常启动、网站页面是否能渲染、文件权限是否正确。这步确认做完，才算真正备份到位。

关于备份策略和恢复验证的更完整讨论，可以参考使用美国虚拟主机对网站安全的影响，里面涉及了从自动备份到补丁管理的完整链条。

!自动备份流程示意图

总结与实践建议

三层防护配置之后，你的服务器安全水位已经能覆盖 90% 以上的常见威胁场景。回顾一下核心要点：

DDoS 防护靠「清洗层 + CDN + 应用层限速」三层分担，不要指望单点扛攻击

防火墙的底线是「最小端口 + 密钥登录 + fail2ban」，这三步做完暴力破解基本上不来

备份必须自动化并定期做恢复演练，不要等到数据丢了才发现备份文件也是坏的

如果你需要一步到位的安全方案，建议考虑 Hostease 的预配安全套餐——控制面板里直接开启 DDoS 清洗和每日自动备份，不需要单独配置。对于没有专职运维的中小团队来说，这是一个低成本且可靠的选择。

最后提醒一点：安全配置不是一次性动作。每季度至少做一次端口和服务审计，每次系统升级后检查防火墙规则是否被重置。把安全做成习惯，而不是出了问题才想起来补救。