买到一台香港VPS并不代表万事大吉。真正的挑战,往往是如何保证它在日常运行中既稳定又安全。尤其对于做跨境电商、独立站的你来说,网站宕机、数据泄露、甚至被攻击勒索,都会直接带来损失。
我在帮团队维护VPS的过程中发现:其实并不需要复杂的技能,只要把握住几个关键动作,就能把大部分安全风险挡在门外。今天,我就和你一起梳理香港VPS上线后必做的8件安全配置,并结合实际操作给出清单,帮助你快速上手。
SSH加固:把“正门”看牢
很多黑客第一步就是爆破SSH登录。你要做的,是三件事:
- 只用密钥,不用密码
- 禁止root直接登录
- 按需更换默认端口(22)来降低扫描噪音
操作也很简单:
# 编辑配置文件
sudo nano /etc/ssh/sshd_config
# 核心设置
PubkeyAuthentication yes
PasswordAuthentication no
PermitRootLogin no
Port 22222
完成后重启sshd,从此登录过程安全得多。
防火墙配置:只开你需要的门
香港VPS主机默认往往是“敞开”的,你必须主动关掉不必要的端口。
推荐使用UFW(Uncomplicated Firewall),它足够简单:
sudo ufw allow 22222/tcp # SSH端口
sudo ufw allow 80,443/tcp # Web服务
sudo ufw enable
sudo ufw status verbose
这样,除了SSH和Web,其他端口都默认拒绝,大大缩小攻击面。
Fail2ban:自动封禁暴力破解
即使做了端口和密钥,依旧会有人尝试暴力登录。这时Fail2ban就派上用场。它会检测日志,发现重复失败的IP就拉黑。
sudo apt-get install -y fail2ban
sudo nano /etc/fail2ban/jail.local[sshd]
enabled = true port = 22222 maxretry = 5 bantime = 1h
这样,恶意IP会被自动封禁,你再也不用担心SSH日志爆满。
系统更新:补丁要第一时间打
很多攻击其实利用的是“已知漏洞+没更新”。
Ubuntu提供了unattended-upgrades,能自动安装安全补丁:
sudo apt-get install -y unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades
把更新自动化,省时省心。
定期备份:别等出事才想起
“没有备份等于裸奔”。推荐遵循3-2-1策略:
- 至少三份备份
- 存在两种介质(本地+云存储)
- 至少一份离线保存
常见工具有restic、rclone,甚至直接用云服务商的快照功能。关键是:别光存,还要定期测试能否恢复。
DDoS防护:外部+内部双保险
单台VPS很难独自抗住大规模DDoS。
常见组合是:
- 外部:接入Cloudflare等CDN/WAF,做流量清洗
- 内部:启用Linux内核SYN cookies,提高抗攻击能力
echo "net.ipv4.tcp_syncookies = 1" | sudo tee /etc/sysctl.d/60-syn.conf
sudo sysctl --system
这样可以保证即使遇到突发流量,也能多撑一阵子。
权限管理:最小化原则
不要所有人都用root。给自己新建一个普通用户,按需授权:
sudo adduser deployer
sudo usermod -aG sudo deployer
并在sshd_config里限制只有这个用户能远程登录。这样,就算账号泄露,危害也能降到最低。
监控与日志:及时发现问题
没有监控的VPS,就像没有仪表盘的汽车。
推荐:
- 用Prometheus+Grafana做基础资源监控
- 用auditd记录关键文件和登录的变更
sudo apt-get install -y auditd
sudo systemctl enable --now auditd
这样,你可以第一时间收到异常告警,避免小问题拖成大事故。
一张速查表
| 配置项 | 操作重点 | 验证方式 |
|---|---|---|
| SSH | 禁用root+仅密钥 | 密码登录应失败 |
| 防火墙 | 仅放行80/443/SSH端口 | 外部扫描仅显示必要端口 |
| Fail2ban | 自动封IP | fail2ban-client status sshd |
| 更新 | 开启自动更新 | 检查日志是否有补丁应用 |
| 备份 | 3-2-1策略+演练 | 在新机器成功恢复 |
| DDoS | CDN/WAF+SYN cookies | 攻击时站点仍可访问 |
| 权限 | 普通用户+最小sudo | sudo -l仅显示必要命令 |
| 监控 | auditd+告警 | 有异常时收到通知 |
结合Hostease的落地建议
如果你用的是香港VPS服务器,建议上线当天就完成以上操作。
Hostease提供自定义镜像和带宽弹性配置,这让你更方便做自动化更新和CDN接入。同时,你可以提前和客服沟通,只开放必须端口,帮你把安全防护前置到运维环节。
对于跨境独立站用户,这能显著降低运维风险,把精力更多放在业务本身。
常见FAQ
问:修改SSH端口是不是最重要的?
答:不是。改端口只是降低扫描噪音,真正的安全在于密钥登录和禁用root。
问:UFW和iptables有什么区别?
答:UFW是iptables的简化版,适合大多数用户;iptables功能更强,但配置复杂。
问:Fail2ban会不会误封正常用户?
答:可能,但你可以设置白名单或调节规则,风险可控。
问:自动更新会影响网站正常运行吗?
答:安全更新一般不会,但你可以设定维护时间,或先在测试机验证。
问:为什么备份必须离线?
答:因为在线备份可能会被勒索软件一并加密,离线备份是最后一道保险。
总结:先做五步,再逐步完善
如果时间有限,建议你先完成:SSH加固、防火墙、Fail2ban、自动更新、备份,这五步能覆盖大多数常见风险。
接着,根据业务情况叠加DDoS防护、权限最小化和监控,安全性会再上一个台阶。
你可以把这篇文章当作香港VPS的“开机必做清单”。如果希望节省更多时间,不妨直接向Hostease客服咨询“安全加固方案”,让上线从第一天起就更安心。
微信扫一扫打赏
支付宝扫一扫打赏
