越南云服务器租用安全加固清单包括防火墙与访问控制方案

1.

准备与风险评估

步骤一：梳理资产与服务（列出公网IP、开放端口、运行的应用）。
步骤二：评估威胁（SSH 爆破、Web 漏洞、未打补丁等）。
步骤三：制定维护窗口与回滚计划，准备快照/备份以防改动出错。

2.

基础系统更新与账号治理

步骤一：升级系统包（Debian/Ubuntu: apt update && apt upgrade -y；CentOS: yum update -y）。
步骤二：创建普通管理用户并禁用 root 直接登录：adduser adminuser && usermod -aG sudo adminuser。
步骤三：设置强口令策略或使用 PAM 强化，删除无用用户和账号（检查 /etc/passwd）。

3.

SSH 加固与密钥管理

步骤一：生成密钥（本地运行：ssh-keygen -t ed25519 -C "your@me"），将公钥追加到服务器~/.ssh/authorized_keys。
步骤二：修改 /etc/ssh/sshd_config，建议更改：PermitRootLogin no、PasswordAuthentication no、PubkeyAuthentication yes、Port 22(可改为非标准端口)。保存后 systemctl restart sshd。
步骤三：设置 SSH Key 权限：chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys。

4.

云端安全组与主机防火墙实操

步骤一（云控制台）：在越南云提供商控制台创建安全组，白名单化规则，仅开放必要端口（例如 TCP 22/443/80），且限定管理 IP 段。
步骤二（UFW 示例，Ubuntu）：apt install ufw -y；ufw default deny incoming；ufw default allow outgoing；ufw allow from 203.0.113.4 to any port 22 proto tcp；ufw allow 443/tcp；ufw enable。
步骤三（iptables 示例）：iptables -F；iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT；iptables -A INPUT -p tcp --dport 22 -s 203.0.113.4 -j ACCEPT；iptables -A INPUT -p tcp --dport 443 -j ACCEPT；iptables -A INPUT -j DROP；保存规则（iptables-save > /etc/iptables.rules）并写 systemd 恢复脚本。

5.

入侵防护（Fail2Ban）与登录限制

步骤一：安装 Fail2Ban（Ubuntu/Debian: apt install fail2ban -y；CentOS: yum install epel-release && yum install fail2ban -y）。
步骤二：创建 /etc/fail2ban/jail.local，示例内容：[sshd] enabled = true port = 22 filter = sshd maxretry = 5 bantime = 3600 findtime = 600。
步骤三：systemctl enable --now fail2ban；使用 fail2ban-client status sshd 查看封禁记录，必要时加入白名单（ignoreip = 203.0.113.4/32）。

6.

堡垒机、VPN 与最小访问原则

步骤一（堡垒机）：在单独管理子网部署堡垒主机（只对管理 IP 开放 SSH），所有运维通过堡垒机跳板。
步骤二（WireGuard 快速示例）：apt install wireguard -y；wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey；编辑 /etc/wireguard/wg0.conf 配置 server/client，并启动 systemctl enable --now wg-quick@wg0。
步骤三：生产环境建议用 VPN 或堡垒机连接内网服务，避免直接暴露管理端口至公网。

7.

日志审计、监控与自动化补丁

步骤一：启用系统日志与远程集中日志（rsyslog/graylog/ELK），将 /var/log 推送到集中日志服务器。
步骤二：安装 auditd 监控敏感操作并配置规则（auditctl -w /etc/ssh/sshd_config -p wa -k ssh_cfg_change）。
步骤三：启用自动安全更新（Ubuntu: apt install unattended-upgrades && dpkg-reconfigure --priority=low unattended-upgrades），并定期做快照备份。

8.

问：云安全组和主机防火墙哪个更重要？

答：两者都重要。云安全组是第一道边界防护，应在控制台严格白名单化；主机防火墙（UFW/iptables）作为第二道防线，应限制到更细粒度（接口、进程），配合使用更安全。

9.

问：临时允许来自动态 IP 的访问怎么做？

答：临时方案：在云控制台短时修改安全组并记录变更；更安全的做法是使用 VPN 或堡垒机并对临时用户发放短期 WireGuard/OTP 账号，或在 Fail2Ban 中添加临时白名单。

10.

问：部署后的日常运维与最佳实践有哪些？

答：保持系统自动更新与补丁、定期轮换 SSH 密钥与 API 密钥、开启多因素认证、配置告警（登录失败、异常流量）、定期演练恢复流程并保持最小权限原则。