https://md5.pw/index.php?action=history&feed=atom&title=%E6%90%AC%E7%93%A6%E5%B7%A5_VPS_%E5%AE%89%E5%85%A8%E5%9F%BA%E7%BA%BF%E5%8A%A0%E5%9B%BA%EF%BC%88Debian%2FUbuntu%EF%BC%89%E4%B8%80%E9%94%AE%E5%AE%A1%E8%AE%A1%E4%B8%8E%E6%9C%80%E5%B0%8F%E5%8C%96%E6%9A%B4%E9%9C%B2%E9%9D%A2%E6%8C%87%E5%8D%97
搬瓦工 VPS 安全基线加固(Debian/Ubuntu)一键审计与最小化暴露面指南 - 版本历史
2026-04-05T14:31:10Z
本wiki上该页面的版本历史
MediaWiki 1.43.5
https://md5.pw/index.php?title=%E6%90%AC%E7%93%A6%E5%B7%A5_VPS_%E5%AE%89%E5%85%A8%E5%9F%BA%E7%BA%BF%E5%8A%A0%E5%9B%BA%EF%BC%88Debian/Ubuntu%EF%BC%89%E4%B8%80%E9%94%AE%E5%AE%A1%E8%AE%A1%E4%B8%8E%E6%9C%80%E5%B0%8F%E5%8C%96%E6%9A%B4%E9%9C%B2%E9%9D%A2%E6%8C%87%E5%8D%97&diff=1413&oldid=prev
Smithmikerun:创建页面,内容为“= 搬瓦工 VPS 安全基线加固(Debian/Ubuntu)一键审计与最小化暴露面指南 = == 一、文章目标 == 本文用于帮助 BandwagonHost(BWH)用户在不依赖复杂安全套件的情况下,快速完成 VPS 的基础安全加固,降低被扫描、爆破、误配置导致失联的风险。 == 二、适用范围与不适用范围 == '''适用范围:''' # 新购 VPS(建议开机后 30 分钟内完成) # 仅有 SSH 远程管理需求…”
2026-02-18T02:46:59Z
<p>创建页面,内容为“= 搬瓦工 VPS 安全基线加固(Debian/Ubuntu)一键审计与最小化暴露面指南 = == 一、文章目标 == 本文用于帮助 BandwagonHost(BWH)用户在不依赖复杂安全套件的情况下,快速完成 VPS 的基础安全加固,降低被扫描、爆破、误配置导致失联的风险。 == 二、适用范围与不适用范围 == '''适用范围:''' # 新购 VPS(建议开机后 30 分钟内完成) # 仅有 SSH 远程管理需求…”</p>
<p><b>新页面</b></p><div>= 搬瓦工 VPS 安全基线加固(Debian/Ubuntu)一键审计与最小化暴露面指南 =<br />
<br />
== 一、文章目标 ==<br />
本文用于帮助 BandwagonHost(BWH)用户在不依赖复杂安全套件的情况下,快速完成 VPS 的基础安全加固,降低被扫描、爆破、误配置导致失联的风险。<br />
<br />
== 二、适用范围与不适用范围 ==<br />
'''适用范围:'''<br />
# 新购 VPS(建议开机后 30 分钟内完成)<br />
# 仅有 SSH 远程管理需求的 Debian/Ubuntu 服务器<br />
# 准备部署网站、代理、监控、自动化任务前的基线准备<br />
<br />
'''不适用范围:'''<br />
# 已有复杂生产业务且变更窗口不足的机器(先做快照再操作)<br />
# 依赖密码登录且暂未准备公钥的场景<br />
# 不具备 KiwiVM VNC 登录兜底能力的用户<br />
<br />
== 三、变更前准备(强烈建议) ==<br />
# 在 KiwiVM 创建一次快照<br />
# 记录当前 SSH 端口、root 密码、已开放端口<br />
# 打开 KiwiVM 的 VNC(Interactive Shell)页面备用<br />
<br />
== 四、5 分钟基础审计(先看现状) ==<br />
<pre><br />
# 系统信息<br />
uname -a<br />
lsb_release -a || cat /etc/os-release<br />
<br />
# 监听端口与进程<br />
ss -tulpen<br />
<br />
# 最近登录来源<br />
last -a | head -n 20<br />
<br />
# SSH 当前关键配置<br />
grep -E '^(Port|PermitRootLogin|PasswordAuthentication|PubkeyAuthentication|MaxAuthTries)' /etc/ssh/sshd_config<br />
<br />
# 防火墙状态(若未安装 ufw 会报错,可忽略)<br />
ufw status verbose || true<br />
</pre><br />
<br />
'''判定建议:'''<br />
# 若 <code>22</code> 端口对公网开放且密码登录开启,属于高风险<br />
# 若出现异常国家/地区登录记录,先改密钥和登录策略<br />
# 若服务器只用于单应用,不应存在大量无关监听端口<br />
<br />
== 五、最小暴露面加固步骤 ==<br />
=== 步骤 1:创建普通 sudo 管理员 ===<br />
<pre><br />
adduser opsadmin<br />
usermod -aG sudo opsadmin<br />
id opsadmin<br />
</pre><br />
<br />
'''说明:'''<br />
# 后续尽量不用 root 直连<br />
# 若你使用的是 Debian 旧版,sudo 组可能是 <code>wheel</code>,需按实际调整<br />
<br />
=== 步骤 2:配置 SSH 公钥登录 ===<br />
'''在本地执行:'''<br />
<pre><br />
ssh-keygen -t ed25519 -C "bwh-prod"<br />
ssh-copy-id -i ~/.ssh/id_ed25519.pub opsadmin@<你的VPSIP><br />
</pre><br />
<br />
'''服务器侧验证:'''<br />
<pre><br />
ls -l /home/opsadmin/.ssh/authorized_keys<br />
</pre><br />
<br />
=== 步骤 3:收紧 SSH 配置 ===<br />
编辑 <code>/etc/ssh/sshd_config</code>,确保以下项:<br />
<pre><br />
PermitRootLogin no<br />
PasswordAuthentication no<br />
PubkeyAuthentication yes<br />
MaxAuthTries 3<br />
</pre><br />
<br />
如需改端口(可选):<br />
<pre><br />
Port 22222<br />
</pre><br />
<br />
应用配置:<br />
<pre><br />
sshd -t && systemctl restart ssh || systemctl restart sshd<br />
systemctl status ssh --no-pager || systemctl status sshd --no-pager<br />
</pre><br />
<br />
=== 步骤 4:启用 UFW 最小规则集 ===<br />
<pre><br />
apt update && apt install -y ufw<br />
<br />
# 默认拒绝入站,允许出站<br />
ufw default deny incoming<br />
ufw default allow outgoing<br />
<br />
# 放行 SSH 端口(如果你改了端口,改成对应端口)<br />
ufw allow 22222/tcp<br />
<br />
# 如需网站服务再开放<br />
# ufw allow 80/tcp<br />
# ufw allow 443/tcp<br />
<br />
ufw enable<br />
ufw status numbered<br />
</pre><br />
<br />
=== 步骤 5:启用 Fail2ban ===<br />
<pre><br />
apt install -y fail2ban<br />
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local<br />
</pre><br />
<br />
编辑 <code>/etc/fail2ban/jail.local</code>,至少确认:<br />
<pre><br />
[sshd]<br />
enabled = true<br />
port = 22222<br />
maxretry = 5<br />
findtime = 10m<br />
bantime = 1h<br />
</pre><br />
<br />
启动与检查:<br />
<pre><br />
systemctl enable --now fail2ban<br />
fail2ban-client status<br />
fail2ban-client status sshd<br />
</pre><br />
<br />
== 六、一键审计脚本(可重复执行) ==<br />
<pre><br />
cat >/usr/local/bin/bwh-sec-audit.sh <<'SH'<br />
#!/usr/bin/env bash<br />
set -euo pipefail<br />
<br />
echo "===== 基础信息 ====="<br />
uname -a<br />
cat /etc/os-release | sed -n '1,6p'<br />
<br />
echo "\n===== SSH 配置 ====="<br />
grep -E '^(Port|PermitRootLogin|PasswordAuthentication|PubkeyAuthentication|MaxAuthTries)' /etc/ssh/sshd_config || true<br />
<br />
echo "\n===== 开放端口 ====="<br />
ss -tulpen | head -n 50<br />
<br />
echo "\n===== UFW 状态 ====="<br />
ufw status verbose || true<br />
<br />
echo "\n===== Fail2ban 状态 ====="<br />
fail2ban-client status || true<br />
<br />
echo "\n===== 最近登录 ====="<br />
last -a | head -n 15<br />
SH<br />
chmod +x /usr/local/bin/bwh-sec-audit.sh<br />
/usr/local/bin/bwh-sec-audit.sh<br />
</pre><br />
<br />
== 七、验证清单(变更后必须做) ==<br />
# 新开终端可用公钥成功登录<br />
# root 密码登录失败(符合预期)<br />
# <code>ufw status</code> 只开放必要端口<br />
# <code>fail2ban-client status sshd</code> 正常有 jail<br />
# KiwiVM VNC 仍可进入系统<br />
<br />
== 八、回滚与救援(防止锁死) ==<br />
若 SSH 断连:<br />
# 通过 KiwiVM VNC 登录<br />
# 临时关闭 UFW:<code>ufw disable</code><br />
# 回滚 SSH 配置并重启 ssh 服务<br />
# 使用本地终端重新验证后再逐步加固<br />
<br />
可用回滚命令:<br />
<pre><br />
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bad<br />
# 手动修正后<br />
sshd -t && systemctl restart ssh || systemctl restart sshd<br />
ufw disable<br />
</pre><br />
<br />
== 九、常见误区 ==<br />
# 先关密码登录再验证公钥,导致直接失联<br />
# 改了 SSH 端口但 UFW 未放行新端口<br />
# 把 <code>PermitRootLogin</code> 写成错误值导致 sshd 启动失败<br />
# 误以为快照等于备份,未做异地数据备份<br />
<br />
== 十、结论 ==<br />
对大多数 BWH 用户,完成本指南后可以显著降低 SSH 暴露风险。建议每月执行一次审计脚本,并在重大上线前复查端口、登录策略和封禁策略。<br />
<br />
<br />
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]</div>
Smithmikerun