互联网世界并不安全。只要你买了一台公网 IP 的云服务器,不出 10 分钟,各种扫描器和暴力破解机器人就会找上门来。

如果你刚拿到一台全新的 Ubuntu 或 CentOS 服务器,不要急着装跑环境,请务必先做完以下三件事。

1. 禁用 Root 直接登录

Root 权限太大,一旦密码被爆破成功,服务器就彻底沦陷了。我们应该创建一个普通用户,需要时再用 sudo 提权。

修改 SSH 配置文件:vim /etc/ssh/sshd_config

1
2
PermitRootLogin no
PasswordAuthentication no # 强烈建议禁用密码,改用公钥登录

修改完成后重启 SSH 服务:systemctl restart sshd

[在这里插入一张黑客暴力破解日志的终端截图]

2. 更改默认的 SSH 端口

端口 22 是全网机器人的重点关照对象。把它改成一个高端口(比如 22022),可以挡住 90% 的低级自动扫描脚本。

同样是在 /etc/ssh/sshd_config 中修改:

1
Port 22022

3. 配置防火墙 (UFW / Firewalld)

千万别让服务器处于“裸奔”状态。以 Ubuntu 的 UFW 为例,原则是:默认拒绝所有入站,仅开放需要的端口

1
2
3
4
5
6
ufw default deny incoming
ufw default allow outgoing
ufw allow 22022/tcp # 刚才修改的 SSH 端口
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable

总结

安全无小事。这简单的三步只需要 5 分钟,却能帮你免去日后服务器被植入挖矿木马、沦为肉鸡的巨大麻烦。敬畏每一行代码,也敬畏互联网的黑暗森林。