推荐使用轻量工具如ufw或直接配置iptables。首先关闭不必要端口,只开放 SSH(可改端口)、HTTP/HTTPS。
1) 安装并启用 ufw:apt install ufw;ufw default deny incoming;ufw allow 22(或自定义端口);ufw allow 80/tcp 443/tcp;ufw enable。
开启前确保已在控制台或面板保留登录通道,避免被锁死。对高风险服务添加来源IP白名单。
采用本地快照+异地增量备份结合的方案,定期验证恢复可用性。
使用 rsync/borgbackup 做增量备份,结合 cron 或 systemd timers 调度;将备份同步到外部存储(例如对象存储或另一个机房的服务器)。
保留多代备份(比如 7 天日备、4 周周备),并加密传输与静态存储,防止数据泄露。
从最小权限原则出发,限制 root 使用,细化文件与服务权限,关闭不必要的账号与服务。
1) 禁用 root 远程登录并使用 SSH key;2) 为 SSH 设置非默认端口与登录尝试限制(fail2ban);3) 使用 chmod/chown 固定关键目录权限;4) 最小化 sudo 权限。
定期审计 /etc/passwd、/etc/sudoers 与 crontab,删除或锁定长期不使用账户。
结合轻量监控(Prometheus/node_exporter)与入侵检测(fail2ban、AIDE)可以快速发现异常。
部署日志收集(rsyslog + 日志轮转),使用 fail2ban 根据 SSH/HTTP 日志自动封禁;定期运行 AIDE 或 tripwire 检查文件完整性。
设置告警渠道(邮件、Webhook)并对误报进行规则调整,避免错过真实告警。
误区包括仅依赖面板防护、不做异地备份、忽视网络层限制。最佳实践是分层防护与自动化运维。
采用最小化镜像、及时打补丁、使用防火墙+WAF(如 Cloudflare)和定期备份演练;为关键服务设定 SLA 与恢复步骤。
针对香港微VPS 要考虑网络带宽与延迟,选择合适的异地备份目标并定期演练恢复流程,确保业务连续性。