 |
1
totoro625 11 天前  1
写的很详细,非常有帮助
随便提几个小建议 1. apt 和 apt-get 不要混用,统一用一个就行 2. Debian13 源用 DEB822 格式,不要再用传统格式了 3. ufw 默认的日志服务依赖 rsyslog ,建议额外安装一下,否则会漏日志 有几个疑问 1. 已经使用 key 登录 ssh 了,还需要 Fail2ban 保护 ssh 吗? 2. docker 绑定 127.0.0.1 之后,如果需要公网端口访问+ufw 控制,如何解决? |
 |
2
bodayw 11 天前 12
看到说要启用 BBR ,想起来我前阵子恰好稍微研究了一下这个。
先说结论:虽然网上流传的烂大街的教程和脚本都写了 net.core.default_qdisc = fq ,但这个应该早就不需要了。只需 net.ipv4.tcp_congestion_control=bbr 即可。 Linux kernel < 4.20 的时候,配置 fq 是必须的,但现在已经不是了,参见: https://groups.google.com/g/bbr-dev/c/4jL4ropdOV8 根据 Bufferbloat 创始人之一 Dave Täht 的说法,fq_codel 是更好的默认值,而这也已经是几乎所有主流发行版的默认配置了( Debian 应该是最后一个改的,从 bullseye(11) 开始)。fq 只在少数情况下优于 fq_codel 。详见这里的评论: https://github.com/systemd/systemd/issues/9725 以及这里: https://blog.cerowrt.org/post/state_of_fq_codel/ |
 |
4
cndns 11 天前 via Android
|
 |
5
DejavuMoe OP @totoro625 建议 1~2 没影响,3 会再学习一下。
已经使用 SSH key 了,还是需要 Fail2ban 公网访问使用任何 web 服务器 Nginx 、Apache 、Caddy……反向代理即可 |
 |
8
villivateur 10 天前 5
我一直觉得,SSH 只要禁用密码登录就行了,改端口、fail2ban 都是画蛇添足
|
 |
9
jasonyang9 10 天前 via Android
👍大佬整个 ansible playbook 跑一下。。。
|
 |
10
evansun 10 天前
有人给我解答下问题么,我本地装 podman php 做开发环境,但是现在 主机 nginx 访问无权限
 |
 |
12
daimaosix 10 天前
@villivateur 没有绝对的安全,即使改端口,使用 fail2ban 都是为了提高一些门槛,无非就是你不做其他的沦陷的更快一些
|
 |
13
secretys 10 天前
这个博客好看,不知道 wp 有没有一样的主题
|
|
14
villivateur 10 天前
@daimaosix 禁用密码登录,只允许密钥登录,就是现实意义上的绝对安全,不可能破解。
|
 |
15
iamwin 10 天前 2
提几点建议啊
1. 不推荐使用经过加料的 dd 脚本,如果你要重装 debian 的话,我更推荐在服务商的恢复模式下使用官方的云镜像 dd 覆盖目标磁盘并手动调整分区 https://cloud.debian.org/images/cloud/ , 或者使用 https://netboot.xyz/ ,直接重装系统。 2. 如果你是用的是 debian 最新版系统,这三个包已自带 ca-certificates apt-transport-https curl ,不需要再次安装,screen 包我不知道你安装来做什么,如果你是准备用来持久化后台运行某些程序,我建议你学习一下 systemd 服务的写法,还有 unzip 包,用的情况很多,推荐你安装 3. docker 安装过程,他们官网的指南已经过时了,你只需要安装 docker-ce 这一个包其他都会跟着一起安装,更推荐使用新的 docker compose 命令,而不是老的 docker-compose 4. 如果你是手打命令用 apt ,如果你是写脚本用 apt-get ,apt 在脚本里面用会出现一些 file locked 的问题 5. fail2ban 和 ufw ,这两个东西,如果是你自己使用的服务器,我觉得是完全没有必要安装的,对于防火墙我推荐你也学习一下 firewalld 6. 最后 ssh 配置我觉得改非默认端口就能减少绝大部分的密码爆破了,其他配置改了用处都不大 |
 |
16
BeforeTooLate 10 天前
@villivateur 你的理解没有错啊,改端口、fail2ban 只不过可以减少被暴力扫描的烦人的日志罢了,我就不安装 fail2ban ,日志里面就 N 多的扫描记录
|
 |
17
realpg PRO @iamwin #15
搞过云基础设施的建议: 小厂云服务可以 dd 官方镜像 大厂/巨厂不建议的, 会有很多隐性问题, 还是用厂商给你弄好的, 换了在一些特殊调度上会亏, 有些厂商是有一些黑科技的 除非你用来挖矿或者纯 CPU 密集应用 |
 |
19
liuzimin 10 天前
没人用 ssh 的两步验证吗?我觉得还挺爽的。
|
 |
20
Suomea 10 天前
密码复杂度
密码过期 登录失败锁定 会话超时自动退出 开启审计进程 |
 |
21
94nb 10 天前
额,我也问个问题哈,你们单独用 ufw ,那安全组策略那里是直接全放开,直接用服务器的防火墙做防护吗?我的服务器基本没装过防火墙,都是依赖安全组设置传入传出。。。
|
 |
22
wangqi060934 10 天前
ChallengeResponseAuthentication no ,配这个是为啥?
|
 |
24
1018ji 10 天前
lotspeed
|
 |
25
CcHer 10 天前
softlimit 参数
要不要根据情况关闭 swap selinux 和按需关闭防火墙,第三方防火墙要考虑使用的问题 |
|
26
DejavuMoe OP @BeforeTooLate 这个好!感谢分享
|
 |
27
hi2hi 10 天前 1
我的步骤,1 、有枣没枣,先把一堆自己常用的工具安装上; 2 、改密钥登录和端口(防止一些无脑子爆破); 3 、装上 Docker ,开始 All in Docker
|
 |
28
lyxxxh2 10 天前
 被爆了一个月了,基本是爆 root admin 用户。 好奇他多久停止,让他继续玩。 |
 |
29
asong 10 天前
感谢分享,最近买了一个 racknerd 的服务器,默认是 Ubuntu 系统的,请问是否也适用(我看这个帖子里都是关于 Debian 的🤣)
|
 |
30
zhanying 10 天前
补充两个中国特色小工具:
1 、linuxmirrors 2 、chsrc 一个是给包管理器换源,一个是各种换源 |
 |
32
elevioux 10 天前
在 根目录运行 claude code !
|
 |
33
adoal 10 天前
我一般会开 fail2ban 或 sshguard ,但不会换 ssh 端口
|
 |
35
artiga033 10 天前 via Android
@iamwin 关于第 2 点,screen 和 systemd 设计目标就不一样,我自己的话用的是 tmux 。主要是跑一些可能运行很久的临时任务,比如下载或者上传一个大文件,临时开个端口转发之类的这种一次性场景。
|
 |
37
ibegyourpardon 10 天前
这个帖子久违的没有人炫耀,显摆,而是真诚的给建议。
真好。 |
 |
38
dbit 10 天前
刚好需要 OP 的 cf 脚本
 |
|
40
DejavuMoe OP @ibegyourpardon 是的,评论区的一些观点和文章链接值得学习
|
 |
41
Apol1oBelvedere 10 天前
博客干净简洁,内容行文严谨细致,完美。
|
 |
44
shylockhg 10 天前
直接 opensuse-leap-micro 6.2 爽歪歪
|
 |
45
alex177027 10 天前 via Android
|
|
46
DejavuMoe OP @alex177027 感谢指正
|
 |
47
gearfox 9 天前
@ibegyourpardon 是啊
|
 |
48
codehz 9 天前
都用 cloudflare 的话,其实没必要开端口给 cloudflare ,原站迟早会被找出来(即使限制了 cf 段的访问,攻击者还是可以用 worker 来定位)
直接用 cloudflare tunnel 即可( 甚至于 ssh 也可以用 zero trust 这样甚至不需要有一个公网 ip ,想找原站也找不到 |
Select Language