服务器到手先做这 6 个安全设置
发布时间:2026-01-29 22:18
公网服务器一开机就会被扫描。下面 6 项做完,能把 90% 的“弱口令/爆破/入侵”风险挡在门外。
1)立刻改密码(或用密钥)
Linux 改 root 密码:
passwd
- 密码建议:长度 ≥ 16,包含大小写+数字+符号,不要用生日/手机号。
- 更稳的是 SSH 密钥登录(适合有运维经验的用户)。
2)改 SSH 端口(可选,但能减少被扫)
把 SSH 改到一个高位端口(例如 22222):
sed -i 's/^#\\?Port .*/Port 22222/' /etc/ssh/sshd_config
systemctl restart sshd
systemctl restart sshd
注意
- 改端口前先在安全组放行新端口(例如 22222/tcp),再重启 sshd。
- 确认新端口能连上后,再考虑关闭 22 端口。
3)只放行你需要的端口(最关键)
- 只做网站:开放 80/443,SSH 只给自己用(22 或自定义端口)。
- 不需要的端口一律不开放(数据库 3306/6379 默认不要公网开放)。
- 能做“指定 IP 放行”就更好:SSH 只允许你的办公 IP 或固定出口。
4)开启防爆破(fail2ban / 面板安全工具)
Linux 常用 fail2ban:
# Debian/Ubuntu
apt-get update && apt-get install -y fail2ban
systemctl enable --now fail2ban
# CentOS/Rocky/Alma
yum install -y epel-release fail2ban
systemctl enable --now fail2ban
apt-get update && apt-get install -y fail2ban
systemctl enable --now fail2ban
# CentOS/Rocky/Alma
yum install -y epel-release fail2ban
systemctl enable --now fail2ban
- 效果:同一 IP 短时间多次失败登录,会被自动封禁。
5)更新系统与基础组件(别让老漏洞拖后腿)
# Debian/Ubuntu
apt-get update && apt-get -y upgrade
# CentOS/Rocky/Alma
yum -y update
apt-get update && apt-get -y upgrade
# CentOS/Rocky/Alma
yum -y update
- 更新后建议重启一次,确保内核/服务生效。
6)备份至少做一个(否则丢数据只能认)
- 最少做一次整站备份:网站目录 + 数据库。
- 更稳:设置每天/每周自动备份到对象存储或异地服务器。
- 备份要“能恢复”才算数:建议至少验证一次恢复流程。
快速自检(30 秒)
- SSH 密码已改(或已启用密钥)。
- 安全组只放行必要端口(80/443/SSH)。
- 数据库端口未公网开放。
- 已启用防爆破(fail2ban 或面板安全工具)。
- 系统已更新。
- 已存在可用备份。
