VPS 已经启用私匙登陆，还需要改默认端口吗？

主要是担心端口一直被扫会降低电脑性能吗？启用私匙应该不会被爆破吧。

安全操作不嫌少

@notgood 还有其他对外开放的端口或服务么？这些都可能被远程爆掉。

不用改。即使有这种大杀器也不会用在你的小鸡上。

改一改 1 秒的事
22 一直在爆破很好吗

改一下节省爆破日志记录

逗比根据地一键脚本了解一下

21 22 3389 除了准备钓鱼，否则还是不要开的好。 每分每秒 n 波扫描脚本。 尤其是国内的云平台上。

国内闲得无聊的买个 vps 搞事情的脚本 boy 非常多。

@likuku 上面就放了两个容器（ 55 和 WP)

我防火墙都关了~~~~

@Gempty 关掉防火墙？哪天新装一个服务，默认开了一些端口，又没啥身份验证 /默认太弱，
自己一忙又忘，那可能也就因此挂了。案例也蛮多了。

白名单式防火期还是很有必要（属于最佳实践内容）

我宁愿改端口也不用密钥，在外面不方便 =。=

@likuku V 友好，我在 DO 上放了两个容器（ 55 和 WP)，该如何做安全加固？ Ubuntu16 默认没有防火墙

@notgood 那就安装那个三个英文字母的防火墙啊

就喜欢用`lastb`看那些变着花样猜密码的豆 B

把 ssh 密码登陆关了+该端口

@likuku 之前是全 drop，只留一个端口。。。。

让 ssh 只在 127.0.0.1 上 listen
用 kcptun 举例
1.server 端 server_linux_amd64 -l :45678 -t 127.0.0.1:22 --key yourpassword --crypt aes-192
2.本地(我用个 openwrt 的路由举例) client_linux_mipsle -l :2022 -r serverip:45678 --key yourpassword --crypt-192
3.测试一下 ssh root@路由器 ip -p 2022
4.服务器将 步骤 1 的命令加入 开机启动。
5.修改服务器的 sshd，改为 listen 127.0.0.1

听说有些工具会偷你的 key

@notgood DO 本身自带有平台级别防火墙么？#没用过 DO; aws 和 vultr 都是有的。
优先使用平台的防火墙，好处很多，至少不用担心“把自己锁在门外”。

白名单是基本的，默认全封锁，明确用那个，就开那个，遵循 “最低授权原则”。

Fail2ban 试一试

@malagebidi

@malagebidi 请问上面放了两个 Docker 容器(55 和 WP)，fail2ban 该如何添加规则？

发现国内人不少人去 hack, 除了用 key, 还直接限制 ip 范围，只能自己 ip 登陆。

@liuxyon 总结一下，就是 iptables 设定，key 登录，root 密码禁止。
fail2ban 有不错的功能。一直有用（配置比较花时间和经历，看你需求）。ban 的话直接 ban IP。第一次 30 分钟，第二次 2 个小时。第三次 1 天这样的。。有钱的公司或者老爷直接上 x86 防火墙。可以用内网软路由类的防火墙，或者机房的实体硬件防火墙。挡挡 script kid 应该问题不大

@notgood fail2ban 安装后默认只针对 ssh 端口的防范，按需要可以把其他的服务都配置上比如 nginx、apache，ban 的规则也可以在配置文件中调整。55 不知道是什么，wp 的话我用了一个 Wordfence 插件

服务器只有相对安全
上面的东西不重要，你想怎么偷懒都行
上面的东西很重要，你怎么努力做都不够

@lestat 网站挂了

@F00J10H00 科学上网后访问

@likuku #20 其它的不知道，但是 vultr 的防火墙是个坑，vultr 防火墙跟 vps 自身的 firewall-d 防火墙是完全独立的，改一次端口要改两个防火墙，我是直接把 vultr 防火墙关了。

@passerbytiny 优先使用平台的防火墙，好处很多，至少不用担心“把自己锁在门外”。
这也是 aws 官方教程和入门课程给的最佳实践建议，相比 os 自带 防火墙，使用更方便，
此外在管理很多实例时，即方便策略套用，也便于通过平台 SDK/CLI 来自动化配置。

总觉得这个标题怪怪的。

哦，lz 把私钥叫私匙😂