香港原生ip的vps安全加固与防火墙配置规范

1. 初始检查与基线设置

1) 登录后立刻更新系统：sudo apt update && sudo apt upgrade -y（CentOS用yum或dnf）。 2) 检查开放端口：sudo ss -tulnp 或 sudo netstat -tulnp，记录非必要服务并关闭。 3) 禁用不需要的服务：比如 telnet、ftp，执行 sudo systemctl disable --now telnet.service 或 sudo apt remove telnet -y。

2. 创建管理用户与禁止root远程登录

1) 新建管理员用户并加入sudo：sudo adduser adminuser && sudo usermod -aG sudo adminuser。 2) 设置SSH密钥登录：在本地生成ssh-keygen -t ed25519，然后将公钥追加到服务器 ~adminuser/.ssh/authorized_keys，设置权限 chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys。 3) 修改 /etc/ssh/sshd_config：将 PermitRootLogin no、PasswordAuthentication no（若已配置密钥）、ChallengeResponseAuthentication no，重启服务 sudo systemctl restart sshd。

3. SSH端口与连接硬化（实操）

1) 更改SSH端口（可选）：在 /etc/ssh/sshd_config 修改 Port 2222（示例），注意防火墙放行新端口后再重启。 2) 限制登录用户：在sshd_config添加 AllowUsers adminuser；或使用 Match User 指定规则。 3) 配置登录尝试限制：安装并启用fail2ban（sudo apt install fail2ban），创建 /etc/fail2ban/jail.local 简单规则： [sshd] enabled = true maxretry = 5 bantime = 3600 并重启 fail2ban 服务。

4. 防火墙选择与基础策略（UFW示例）

1) 推荐使用UFW（Ubuntu）快速部署：sudo apt install ufw -y。 2) 基础策略：sudo ufw default deny incoming && sudo ufw default allow outgoing。 3) 放行必要端口：sudo ufw allow 2222/tcp（若更改SSH端口），sudo ufw allow 80/tcp && sudo ufw allow 443/tcp。启用防火墙 sudo ufw enable，查看状态 sudo ufw status verbose。

5. 进阶防火墙规则（iptables/nftables 样例）

1) 简单 iptables 快速规则： iptables -F iptables -P INPUT DROP iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp --dport 2222 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT 保存规则：iptables-save >/etc/iptables.rules，并在启动脚本加载。 2) nftables 趋势：使用 nft list ruleset 语法编写显式表和链，确保默认拒绝并只允许必要端口。将规则持久化并测试。

6. 入侵检测、日志与自动化防护

1) 安装fail2ban并针对其它服务（nginx、apache）增加jail。编辑 jail.local 定制正则。 2) 部署日志监控：安装logwatch或设置rsyslog集中化，配置 /etc/logrotate.conf 保证日志轮转。 3) 使用rkhunter/chkrootkit定期扫描：sudo apt install rkhunter chkrootkit，并创建cron任务每日检查，邮件告警异常。

7. 问：香港原生IP的VPS需要特别配置哪些防火墙策略？

答：针对香港原生IP没有特殊端口要求，但建议采取默认拒绝入站、允许出站的策略；仅开放必要端口（SSH自定义端口、80、443）；对SSH启用key-only与fail2ban限制；若面向公网服务，可启用基于国家/区域的流量限制（使用geoip模块）和应用层防护（WAF）。

8. 问：如何在不影响访问的情况下切换SSH端口并确保防火墙规则正确？

答：步骤：1）先在sshd_config新增 Port 新端口但不删除旧端口；2）临时在防火墙放行新端口（ufw allow 新端口/tcp）；3）重启sshd并从新端口测试登录；4）确认可用后在sshd_config移除旧Port并在防火墙撤销旧端口规则；5）最后启用fail2ban针对新端口规则。

9. 问：完成上述加固后如何持续维护与备份？

答：建立定期任务：系统补丁每周检查并测试自动更新；配置每天的日志汇总邮件；使用rsync/duplicity将重要数据同步到异地备份（示例：rsync -avz /var/www user@backup:/backup/），并定期演练恢复；同时监控带宽与异常连接，及时调整防火墙和fail2ban策略。

来源：香港原生ip的vps安全加固与防火墙配置规范