 | 1 totoro625 1 天前  1 写的很详细,非常有帮助 随便提几个小建议 1. apt 和 apt-get 不要混用,统一用一个就行 2. Debian13 源用 DEB822 格式,不要再用传统格式了 3. ufw 默认的日志服务依赖 rsyslog ,建议额外安装一下,否则会漏日志 有几个疑问 1. 已经使用 key 登录 ssh 了,还需要 Fail2ban 保护 ssh 吗? 2. docker 绑定 127.0.0.1 之后,如果需要公网端口访问+ufw 控制,如何解决? |
 | 2 bodayw 1 天前 11 看到说要启用 BBR ,想起来我前阵子恰好稍微研究了一下这个。 先说结论:虽然网上流传的烂大街的教程和脚本都写了 net.core.default_qdisc = fq ,但这个应该早就不需要了。只需 net.ipv4.tcp_congestion_cOntrol=bbr 即可。 Linux kernel < 4.20 的时候,配置 fq 是必须的,但现在已经不是了,参见: https://groups.google.com/g/bbr-dev/c/4jL4ropdOV8 根据 Bufferbloat 创始人之一 Dave Tht 的说法,fq_codel 是更好的默认值,而这也已经是几乎所有主流发行版的默认配置了( Debian 应该是最后一个改的,从 bullseye(11) 开始)。fq 只在少数情况下优于 fq_codel 。详见这里的评论: https://github.com/systemd/systemd/issues/9725 以及这里: https://blog.cerowrt.org/post/state_of_fq_codel/ |
 | 4 cndns 1 天前 via Android |
 | 5 DejavuMoe OP @totoro625 建议 1~2 没影响,3 会再学习一下。 已经使用 SSH key 了,还是需要 Fail2ban 公网访问使用任何 web 服务器 Nginx 、Apache 、Caddy……反向代理即可 |
 | 8 villivateur 1 天前 5 我一直觉得,SSH 只要禁用密码登录就行了,改端口、fail2ban 都是画蛇添足 |
 | 9 jasonyang9 1 天前 via Android 大佬整个 ansible playbook 跑一下。。。 |
 | 10 evansun 1 天前 有人给我解答下问题么,我本地装 podman php 做开发环境,但是现在 主机 nginx 访问无权限  |
 | 12 daimaosix 1 天前 @villivateur 没有绝对的安全,即使改端口,使用 fail2ban 都是为了提高一些门槛,无非就是你不做其他的沦陷的更快一些 |
 | 13 secretys nbsp;1 天前 这个博客好看,不知道 wp 有没有一样的主题 |
| 14 villivateur 1 天前 @daimaosix 禁用密码登录,只允许密钥登录,就是现实意义上的绝对安全,不可能破解。 |
 | 15 iamwin 1 天前 2 提几点建议啊 1. 不推荐使用经过加料的 dd 脚本,如果你要重装 debian 的话,我更推荐在服务商的恢复模式下使用官方的云镜像 dd 覆盖目标磁盘并手动调整分区 https://cloud.debian.org/images/cloud/ , 或者使用 https://netboot.xyz/ ,直接重装系统。 2. 如果你是用的是 debian 最新版系统,这三个包已自带 ca-certificates apt-transport-https curl ,不需要再次安装,screen 包我不知道你安装来做什么,如果你是准备用来持久化后台运行某些程序,我建议你学习一下 systemd 服务的写法,还有 unzip 包,用的情况很多,推荐你安装 3. docker 安装过程,他们官网的指南已经过时了,你只需要安装 docker-ce 这一个包其他都会跟着一起安装,更推荐使用新的 docker compose 命令,而不是老的 docker-compose 4. 如果你是手打命令用 apt ,如果你是写脚本用 apt-get ,apt 在脚本里面用会出现一些 file locked 的问题 5. fail2ban 和 ufw ,这两个东西,如果是你自己使用的服务器,我觉得是完全没有必要安装的,对于防火墙我推荐你也学习一下 firewalld 6. 最后 ssh 配置我觉得改非默认端口就能减少绝大部分的密码爆破了,其他配置改了用处都不大 |
 | 16 BeforeTooLate 1 天前 @villivateur 你的理解没有错啊,改端口、fail2ban 只不过可以减少被暴力扫描的烦人的日志罢了,我就不安装 fail2ban ,日志里面就 N 多的扫描记录 |
 | 17 realpg PRO @iamwin #15 搞过云基础设施的建议: 小厂云服务可以 dd 官方镜像 大厂/巨厂不建议的, 会有很多隐性问题, 还是用厂商给你弄好的, 换了在一些特殊调度上会亏, 有些厂商是有一些黑科技的 除非你用来挖矿或者纯 CPU 密集应用 |
 | 19 liuzimin 1 天前 没人用 ssh 的两步验证吗?我觉得还挺爽的。 |
 | &nbp; 20 Suomea 1 天前 密码复杂度 密码过期 登录失败锁定 会话超时自动退出 开启审计进程 |
 | 21 94nb 1 天前 额,我也问个问题哈,你们单独用 ufw ,那安全组策略那里是直接全放开,直接用服务器的防火墙做防护吗?我的服务器基本没装过防火墙,都是依赖安全组设置传入传出。。。 |
 | 22 wangqi060934 1 天前 ChallengeResponseAuthentication no ,配这个是为啥? |
 | 24 1018ji 1 天前 lotspeed |
 | 25 CcHer 1 天前 softlimit 参数 要不要根据情况关闭 swap selinux 和按需关闭防火墙,第三方防火墙要考虑使用的问题 |
| 26 DejavuMoe OP @BeforeTooLate 这个好!感谢分享 |
 | 27 hi2hi 1 天前 1 我的步骤,1 、有枣没枣,先把一堆自己常用的工具安装上; 2 、改密钥登录和端口(防止一些无脑子爆破); 3 、装上 Docker ,开始 All in Docker |
 | 28 lyxxxh2 1 天前  被爆了一个月了,基本是爆 root admin 用户。 好奇他多久停止,让他继续玩。 |
 | 29 asong 1 天前 感谢分享,最近买了一个 racknerd 的服务器,默认是 Ubuntu 系统的,请问是否也适用(我看这个帖子里都是关于 Debian 的) |
 | 30 zhanying 1 天前 补充两个中国特色小工具: 1 、linuxmirrors 2 、chsrc 一个是给包管理器换源,一个是各种换源 |
 | 32 elevioux 1 天前 在 根目录运行 claude code ! |
 | 33 adoal 1 天前 我一般会开 fail2ban 或 sshguard ,但不会换 ssh 端口 |
 | 35 artiga033 1 天前 via Android @iamwin 关于第 2 点,screen 和 systemd 设计目标就不一样,我自己的话用的是 tmux 。主要是跑一些可能运行很久的临时任务,比如下载或者上传一个大文件,临时开个端口转发之类的这种一次性场景。 |
 | 37 ibegyourpardon 1 天前 这个帖子久违的没有人炫耀,显摆,而是真诚的给建议。 真好。 |
 | 38 dbit 23 小时 52 分钟前 刚好需要 OP 的 cf 脚本  |
| 40 DejavuMoe OP @ibegyourpardon 是的,评论区的一些观点和文章链接值得学习 |
 | 41 Apol1oBelvedere 23 小时 33 分钟前 博客干净简洁,内容行文严谨细致,完美。 |
 | 44 shylockhg 21 小时 59 分钟前 直接 opensuse-leap-micro 6.2 爽歪歪 |
 | 45 alex177027 21 小时 57 分钟前 via Android |
| 46 DejavuMoe OP @alex177027 感谢指正 |
 | 47 gearfox 9 小时 57 分钟前 @ibegyourpardon 是啊 |
 | 48 codehz 9 小时 14 分钟前 都用 cloudflare 的话,其实没必要开端口给 cloudflare ,原站迟早会被找出来(即使限制了 cf 段的访问,攻击者还是可以用 worker 来定位) 直接用 cloudflare tunnel 即可( 甚至于 ssh 也可以用 zero trust 这样甚至不需要有一个公网 ip ,想找原站也找不到 |
Select Language