1.
初始接入与基础配置(开箱即用)
1) 更换默认密码并创建非root管理员账号;
2) 修改SSH默认端口(示例:22→2222)并关闭密码登录,启用公钥认证;
3) 安装并启用基本防火墙(示例:ufw enable;允许2222/80/443/3306等必要端口);
4) 关闭不必要服务(ftp、telnet、rsh等),减少攻击面;
5) 切换时区并同步NTP(chrony或ntpd),保证监控时序准确;
6) 安装常用工具:htop、ncdu、rsync、zip/unzip 等用于运维诊断。
2.
主机安全加固(操作系统与应用层)
1) 禁用root直接登录(/etc/ssh/sshd_config:PermitRootLogin no);
2) 设置Fail2Ban或配置iptables/nftables白名单与限速规则(示例:ssh 5 attempts/10m);
3) 部署SELinux或AppArmor策略,限制Web进程访问敏感文件;
4) 强制自动更新或定期安全补丁(Debian/Ubuntu apt unattended-upgrades);
5) 为关键服务启用TLS(证书使用Let's Encrypt自动续期);
6) 使用Web应用防火墙(WAF)如ModSecurity拦截已知攻击向量。
3.
网络与CDN/DDoS防护策略
1) 在香港节点优先接入大型CDN(如Cloudflare、Akamai或国内合作节点),降低源站压力;
2) 配置CDN缓存策略和页面规则,静态资源缓存TTL ≥ 1 天以节省带宽;
3) 启用CDN的DDoS防护与速率限制(示例:自动阻断超 1,000 RPS 的单IP);
4) 在云供应商控制台启用DDoS基础防护与流量告警阈值;
5) 使用Anycast IP与多香港机房冗余,减缓单点流量冲击;
6) 对于TCP层攻击配置SYN Cookies及连接限制。
4.
监控、日志收集与告警体系
1) 部署Prometheus抓取主机与应用指标(node_exporter + cadvisor);
2) 使用Grafana建立仪表盘:CPU/内存/磁盘/网络/响应时间/QPS;
3) 集中化日志(ELK/EFK:Elasticsearch+Filebeat+Kibana)并启用日志轮转;
4) 配置告警通道(邮件、Slack/钉钉/Telegram、SMS)与阈值(示例:CPU>85%超过5分钟告警);
5) 设置自动化脚本响应常见告警(重启服务、扩容、临时封禁IP);
6) 保存监控历史至少90天以便进行容量规划与安全溯源。
5.
备份、恢复与演练
1) 按重要性制定备份策略:每日快照+每周完整备份;
2) 异地备份至不同可用区或对象存储(示例:香港机房->另一区域或OSS/S3);
3) 数据库采用主从或主主复制,并定期进行一致性校验;
4) 建立恢复RTO/RPO目标:RTO ≤ 1 小时,RPO ≤ 15 分钟(业务关键);
5) 定期做灾备演练(恢复时间、数据完整性验证),每季度至少一次;
6) 使用冷备/热备结合:热备用于关键服务,冷备用于归档数据。
6.
真实案例与配置示例(香港VPS实际部署)
1) 案例概述:某香港电商买家购买VPS并在促销期遭遇流量暴增与小规模DDoS;
2) 初始配置:4 vCPU / 8 GB RAM / 80 GB SSD / 月流量 5 TB / 带宽 1 Gbps,公网IP:1 个,系统:Ubuntu 20.04;
3) 采取措施:SSH改端口2222、启用Fail2Ban、部署Cloudflare CDN与WAF、Prometheus+Grafana监控;
4) 成果数据:(攻击发生前/后对比)响应时间由250ms降到120ms,CPU峰值由95%降到60%,每分钟恶意请求拦截数峰值达到3,450次;
5) DDoS防护:通过Cloudflare缓解了最大50 Gbps的攻击,源站带宽利用率下降80%;
6) 可复制配置表(示例规格与监控阈值)如下:
| 项目 | 数值/说明 |
|---|
| CPU | 4 vCPU |
| 内存 | 8 GB |
| 磁盘 | 80 GB SSD |
| 带宽 | 1 Gbps / 月 5 TB |
| 监控阈值 | CPU>85%(5min)/ 内存>90%(5min)/ 响应>500ms(2min) |
来源:香港云服务器购买后如何快速完成安全加固与监控部署
