一台全新的服务器,就像刚搬进的毛坯房。门窗完好,水电通着,看着一切正常。但你不知道的是:这间房子的地址已经被贴在某个黑客论坛上,门锁的型号全网公开,甚至有人已经在试着用万能钥匙开门了。
这不是危言耸听。2024年,一家安全机构做了个实验:一台没有任何防护的Linux服务器接入公网,24小时内被扫描的次数超过2000次。第一次成功的SSH登录尝试,发生在第4小时17分。
但好消息是,你不需要成为安全专家,也不需要背复杂的命令。花15分钟做完下面这6件事,就能躲开99%的自动化攻击。
1. 把root这个“活靶子”收起来
大多数服务器默认允许root账号远程登录。这意味着黑客只需要猜对密码——而root这个用户名,根本不用猜。
这就好比你家的防盗门上,贴着一张纸条:“户主姓名:王富贵”。想进来的人,只需要猜王富贵的生日、车牌号、或者随便一个弱密码。
更可怕的事实:某云厂商统计过,被成功入侵的服务器里,80%并不是因为密码太弱,而是因为“root + 密码登录”这个组合本身。密码即使复杂,也可能被键盘记录器窃取、被中间人截获,或者你自己不小心写在了代码里。
怎么做?
- 创建一个普通用户,给它sudo权限
- 关掉root的远程登录权限
- 只用密钥登录,彻底关掉密码登录
命令其实就几行,网上随便一搜就有。关键是想清楚:你愿不愿意每天用“王富贵”这个名字登录自己的家?
2. 把SSH端口从22改掉
22端口是SSH的默认端口,就像你家大门的门牌号。所有扫描工具的第一件事,就是扫22。
但你可能会想:改成多少?2222?22222?
这里有个反常识的点:2222和22,在扫描器眼里没有本质区别。很多扫描工具内置了常用端口列表,2222、22222、10022这些“看着像SSH的端口”,都在列表里。
真正有效的做法是:选一个看起来不像SSH的端口。比如:
- 8080(通常是Web代理)
- 8443(备用HTTPS)
- 或者干脆选个50000以上的随机端口
扫描器不会浪费时间扫全部65535个端口,它们优先扫知名端口和几千个常用端口。只要你的端口不在这个列表里,就躲过了90%的批量扫描。
3. 装个防火墙,但别只装不配
很多人觉得装防火墙就是装个软件,然后放行所有端口——那不如不装。
防火墙的核心逻辑只有八个字:默认拒绝,按需放行。就像你家的大门,默认是锁着的,有人敲门你看清是谁才开。而不是大门敞开,来人了再判断是不是坏人。
最容易犯的错:装了防火墙,但规则是空的,或者规则是“允许所有”。这样的防火墙,和没装一样。
最简单的配置:
- 允许SSH端口(你刚改的那个)
- 如果跑网站,允许80和443
- 允许ping(方便测试,但也可以关掉)
- 其他一切,拒绝
这套规则写下来,大概5行配置。5行字,挡住90%的端口扫描。
4. 给暴力破解装个“自动关门”机制
防火墙防的是端口扫描,但防不住暴力破解。
什么叫暴力破解?就是有人用脚本,24小时不停地试密码。试root,试admin,试user,试一万个常见用户名;配123456,配password,配qwerty,试十万个常见密码。
你可能觉得:我的密码很复杂,不怕试。但问题是,暴力破解脚本不挑食——它只是占用你的系统资源,让你的服务器变慢,日志爆炸,甚至触发某些服务的bug导致崩溃。
怎么办? 装个叫fail2ban的小工具。它的原理很简单:发现有人连续输错密码,就把他的IP封掉一段时间。
你可以把它想象成小区的保安:有人敲门,第一次输错密码,保安记下来;第二次输错,保安皱眉;第三次输错,保安直接报警,并在小区门口贴个条:“此人禁止入内”。
真实案例:有个朋友开了个个人博客,装了fail2ban后,一周内拦截了3000多次暴力尝试。他说:“要不是看日志,我都不知道有这么多人想进我家。”
5. 系统更新,但只自动更新安全补丁
系统更新这个建议,你可能听得耳朵起茧了。但这里有个很少有人说的细节:不要全自动更新,要只自动更新安全补丁。
为什么?因为功能更新可能带来兼容性问题。某公司曾经因为自动更新升级了PHP版本,导致线上业务崩溃了两小时——只是因为新版本废弃了一个旧函数。
但安全补丁不一样。安全补丁修的是漏洞,不修功能,不出新特性,大概率不会搞崩你的业务。
怎么配?
- Ubuntu/Debian系:用unattended-upgrades,只勾选“${distro_id}:${distro_codename}-security”
- CentOS/RHEL系:用yum-cron,同样只启用安全更新
配好之后,系统会每天自动检查安全更新并安装。你只需要偶尔看一眼邮件通知。
6. 装个轻量级监控,知道服务器在干啥
前五件事都是防御,第六件事是感知。
很多人被黑了都不知道。网站慢了一点?可能是流量大了,也可能是被人拿去挖矿了。带宽跑满了?可能是用户多了,也可能是被人当成肉鸡在发垃圾邮件。
你需要一个监控工具,随时告诉你服务器在干什么。
不是让你搭一套复杂的ELK,也不是让你配一堆看不懂的Grafana图表。一个netdata就够了。
netdata是什么?它是一个轻量级的监控工具,装上一分钟后,打开浏览器就能看到一个漂亮的仪表盘:
- CPU哪个核在忙
- 内存谁在吃
- 磁盘在写什么
- 网络连到了哪里
最重要的是,它有异常检测。当某个指标突然飙升,它会用红点标出来,告诉你:“这里不对劲。”
安装netdata只需要一行命令。装完之后,你每天花一分钟看一眼仪表盘,就能知道服务器是不是在干它该干的事。
15分钟,六件事。说起来多,做起来快。
关掉root,改掉端口,配好防火墙,装上fail2ban,设置自动安全更新,再装个netdata看着。
做完这些,你的服务器才算真正“入住”了。以后每次上线新业务,都可以拿这份清单过一遍——15分钟的投资,换的是往后无数个安稳觉。
毕竟,服务器不是你买了就完事的设备。它是你在互联网上的一个家,值得花点时间把它收拾好。