什么是vps
VPS就是Virtual Private Server,又叫虚似专用服务器。它就相当于是一种技术,可以将一台服务器(物理机)分割成多个虚似专享服务器。这种技术可以为大家提供优质服务,每一个VPS都可以分派独立公网IP地址、独立操作系统、独立超大空间、独立运行内存、独立CPU资源、独立执行程序和独立系统配置等,可以从根本上防止关联。
简单理解就是一台24小时不关机并且带有公网ip的电脑,只不过这台电脑不在你面前,可能在世界的某个角落运行着。
vps可以干什么
使用它可以部署属于自己的服务,比如个人博客,网盘,笔记,密码存储,影视站,小型的微博,论坛等等。总之玩法特别多。
如何获得一台vps
国内大厂:阿里云,腾讯云
国外:搬瓦工,vultr,便宜的Racknerd等
vps系统选择
优选开源的linux系统。windows系统虽然有图形界面易于上手,但是吃配置,如果服务器遇到高系统负载,网站性能可能会受到影响,而且Windows 是一个付费操作系统,需要您购买许可证才能完全激活其系统和功能。 因此,您可能需要花更多的钱购买 Windows VPS 计划,因为它还包含 Windows 激活许可证的费用。
linux系统的发行版主要有Debian,Ubuntu和 CentOS。个人喜欢用Debian10-64位系统(或者debian11),Debian系统非常精简,不会自带很多应用,需要啥后面自己apt安装即可,而Ubuntu系统自带了很多应用,就不需要自己安装比如wget包,sudo等等,ubuntu一般选择长期发行版的20.04,或者其它长期发行版。Centos不做推荐。
如何获得域名
国内:阿里,腾讯
国外:namesilo
如何把域名解析到服务器
域名是啥:
由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如baidu.com,在cmd命令行输入ping baidu.com会看到IP地址,这个ip就代表着一台主机,使用百度搜索就是个人电脑会和这台主机交换信息,但是并不代表百度这个服务部署在这台主机上。
域名解析首推cloudflare
如何远程控制自己的vps
使用远程连接工具:finalshell,xshell,putty等ssh连接工具
拿到vps首先要做的事(debian系统)
更新包
apt update -y && apt upgrade -y
安装常用的命令
apt install sudo curl wget
更改默认ssh连接的端口
很多服务器厂商ssh默认的连接端口是22,超级管理员是root。修改默认端口,可以降低vps被黑的风险。
1.修改sshd_config文件
nano /etc/ssh/sshd_config
找到port,把port前面的#删掉(#号的意思是这一行属于注释,删除#号代表代码有效),port后面空格输入自己的端口(一般建议大于1024,小于65535)。修改完成后,ctrl+o、回车、ctrl+x
下图ctrl+o提示是wirte out。ctrl+x提示是exit退出。
修改端口2.重启ssh服务使变更生效
sudo service sshd restart
注意:为了保证服务器不会失联,请不要关闭当前的ssh登录窗口!而是另外开一个窗口来测试!
新建普通用户
在linux系统中用户权限是十分严格的,root用户的权限最大,类似windows系统的超级管理员。在windows系统中,一般开机登录的就是普通用户的账户。
由于权限大,误操作容易出问题,所以新建一个普通用户,需要root权限时再切换到root。
1.添加用户
adduser superadmin
superadmin替换成你自己的用户名
2.设置密码
会要求你输入两次密码,第一次是设置密码,第二次是确认密码,然后不用管一路回车
注意输入密码的时候,屏幕是不会显示密码的,建议直接在记事本输入,然后粘贴。
3.把刚刚添加的普通账户添加到用户偏好设置下面
在 User Privilege Specification 下加入一行 superadmin ALL=(ALL) NOPASSWD:ALL 即可。
visudo
添加一行添加好后,同样ctrl+o、回车、ctrl+x
我要特别说明的是NOPASSWD这个设置,它的意思是vpsadmin用户临时使用root权限时,不用额外输入密码。这与一般的安全建议相反。我之所以如此推荐,是因为很多新人不顾危险坚持使用root账号就是因为用root时不用重复输入密码、觉得轻松。“两害相权取其轻”,我认为【直接用root用户的风险】大于【使用sudo时不用输密码的风险】,所以做了以上的建议。
如果你希望遵守传统习惯、每次使用sudo时需要输入密码,那么这一行改成 vpsadmin ALL=(ALL:ALL) ALL 即可。
禁止root登录
1.修改sshd_config文件
nano /etc/ssh/sshd_config
2.找到PermitRootLogin Yes这一项,然后把它后面的设定值改为no即可。
使用 ctrl+w 进入搜索模式,然后输入 PermitRootLogin 并回车
输入no添加好后,同样ctrl+o、回车、ctrl+x
3.重启 ssh 服务,让变更生效。
sudo service sshd restart
安装ufw
防火墙是一种安全系统,它基于一组安全规则来监视和控制网络流量。防火墙通常位于受信任的网络和不受信任的网络之间。
防火墙的主要作用是保护安全。防火墙可以在传入的恶意流量到达网络之前对其进行拦截,并防止敏感信息从网络流出。
防火墙也可以用于内容过滤。例如,学校可以配置防火墙,以防止其网络上的用户访问成人内容。同样,在某些国家/地区,政府运行防火墙,可以阻止该国家/地区内的人员访问互联网的某些部分。
国内服务器厂商如阿里云,腾讯云都自带防火墙,而且级别是最高的,所以就无需自己配置防火墙,即使配置了防火墙,阿里或者腾讯服务器的后台不给放行端口,依然无法访问。而国外很多服务器都不是没有自带防火墙需要自己配置,ubuntu系统自带ufw,无需安装,debian系统需要先安装ufw。
安装ufwsudo apt-get install ufw
查看 UFW 是否已经在运行ufw status
如果你发现状态是 inactive ,意思是没有被激活或不起作用。
启用/禁用ufw enable#启用ufw disable#禁用设置默认规则
UFW默认情况下允许所有的出站连接,拒绝所有的入站连接,所以这里首先将UFW设置为默认规则:
sudo ufw default deny incoming
sudo ufw default allow outgoing
允许SSH连接如果没有改端口:
sudo ufw allow ssh
如果修改了改端口:
sudo ufw allow 9953/tcp comment SSH6589改成自己的修改后的ssh连接的端口,给这个端口的tcp协议放行。
添加规则,允许入站(allow),自己使用了哪些端口就放行哪个,不放行无法连接上网。ufw allow http #添加80端口ufw allow https #添加443端口ufw allow 2333/tcp #添加2333端口,仅TCP协议ufw allow 6666/udp #添加6666端口,仅UDP协议ufw allow 8888:9999 #添加8888到9999之间的端口ufw allow 6589 #添加86589的端口如果有很多条规则,使用 numbered 参数,可以在每条规则上加个序号数字。sudo ufw status numbered
规则前加序号删除规则:sudo ufw delete <序号>
重载配置sudo ufw reload
以上都是一些简单常用的一些命令,想要深入了解,可以输入 man ufw 查看 ufw 用户手册。
禁止ping
ping一个域名就会暴露自己vps的ip,而黑客想要入侵登录你的vps,需要ip,ssh连接的端口,用户名和密码,前面把ssh端口改了,添加了普通用户并禁止root用户登录。现在把自己vps的ip也稍微隐藏下。
注意:如果vps搭建了节点服务,就不要设置了!!!设置了会无法使用。
sudo nano /etc/ufw/before.rules
ctrl+w搜索:echo-request,把ACCEPT改成DROP。ctrl+o、回车、ctrl+x保存退出
该成DROP参考文章:https://blog.laoda.de/
https://p3terx.com/archives/installing-and-configuring-ufw-in-debian.html
0 留言