侧边栏壁纸
博主头像
xiaoming博主等级

累死自己,卷死别人,为了小刘而努力!!!

  • 累计撰写 24 篇文章
  • 累计创建 7 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录
常用工具

【服务器安全指南】新🐔到手,从DD到开启BBR,配置SSH安全

Administrator
Administrator
2024-11-05 / 0 评论 / 0 点赞 / 61 阅读 / 4307 字 / 正在检测是否收录...

以下是我个人新机到手之后的一些简单入门安全措施:

  • DD机器
  • SSH安全
    • 秘钥登录
    • 升级SSH到安全版本
  • 开启BBR

1.DD机器一键脚本

以前使用服务器的时候都是直接使用服务器官方提供的系统安装,基本就是更新一下apt源,然后安装bbr之后安装docker就开始使用了,但是最近买了一家的服务器发现按照以往的配置方式,配置完成之后在使用的过程中经常会出现图片和表情加载缓慢,加载速度慢到十几秒种才能够加载出来,这个问题查找了好几天都没有找到问题,最后没办法之后直接DD了一个Linux系统之后就正常了,所有为了避免商家在里面乱塞东西影响到系统的运行,最好的方式还是DD一个干净的系统使用。

wget --no-check-certificate -qO InstallNET.sh 'https://raw.githubusercontent.com/leitbogioro/Tools/master/Linux_reinstall/InstallNET.sh' && chmod a+x InstallNET.sh && bash InstallNET.sh -mirror "http://ftp.hk.debian.org/debian/" -debian 12 --bbr -port 22 -pwd 12345

你需要将12345修改为你自己的随机密码,这个密码并不重要,因为后面会改为秘钥登录,但不要使用12345等密码,因为在你修改为秘钥登录期间有个窗口期,就怕给别人扫到了!!!

脚本执行过程比较短,1-3分钟执行完之后,会提示你需要 reboot,只要输入 reboot 重启机器就好了,重启需要 5-20 分钟的样子。

脚本对于 IPv6/IPv4, **阿里云/aws lightsail/**其它机器都不在话下。如果你的机器使用脚本后无法访问,可以去你的VPS商家面板那里安装商家系统,然后另寻办法。

2.SSH-修改秘钥登录

在机器重启期间,可以在你的 SSH 客户端配置你的连接信息。
另外,你需要有一个公私钥用来配置秘钥登录。我个人是有一对公私钥专门用来登录小🐔,而不是为每个机器生成独立的公私钥。

mkdir -p ~/.ssh
echo "你的公钥内容" > ~/.ssh/authorized_keys

然后修改 SSH 配置:

vim /etc/ssh/sshd_config

你需要重点修改一下几项:

  • Port 高位端口 <= 65535
  • PermitRootLogin yes
  • PubkeyAuthentication yes
  • PasswordAuthentication no

示例:

#...其它配置
Port 59999
PermitRootLogin yes
PubkeyAuthentication yes
PasswordAuthentication no

保存并退出后 重启 SSHD 服务器:

systemctl restart sshd

不要关闭当前SSH链接,可以新开一个SSH链接查看是否可以正常链接,如果正常连接,则一切ok,如果不正常,则还需要当前链接进行配置。

使用秘钥登录就不要 fail2ban 保护了

3.SSH 安全配置

ssh 有一些漏洞,而 debian 的最新系统是有这个 ssh 漏洞,首先需要检查你的ssh版本是否是漏洞版本:

查看SSH版本

ssh -V

如果你的版本在以下区间内就需要升级SSH到最新版本:

  • OpenSSH < 4.4p1
  • 8.5p1 <= OpenSSH < 9.8p1

升级SSH版本

apt update
apt install make libz-dev gcc git autoconf libssl-dev -y
git clone https://github.com/openssh/openssh-portable
cd openssh-portable
autoreconf
./configure
make
make install
source /etc/profile

再次查看 SSH 版本验证:

ssh -V

4.开启 BBR

tee -a /etc/sysctl.conf << EOF
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
net.ipv4.tcp_available_congestion_control=cubic bbr
net.ipv4.tcp_fastopen=3
net.ipv4.tcp_keepalive_time=600
net.ipv4.tcp_keepalive_intvl=30
net.ipv4.tcp_keepalive_probes=5
net.ipv4.tcp_rmem=8192 262144 536870912
net.ipv4.tcp_wmem=4096 16384 536870912
EOF
sysctl -p

会出现 Invalid argument,忽视即可。

或者使用一键脚本

wget -N --no-check-certificate "https://github.000060000.xyz/tcpx.sh" && chmod +x tcpx.sh && ./tcpx.sh

到此简单的小🐔配置就已经搞定了。

0
常用工具
版权归属: Administrator
本文链接: https://www.xinling.site/archives/fu-wu-qi-an-quan-zhi-nan
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区