新手租用阿里云服务器如何避免被黑客入侵？-CLOUD技术笔记

租用阿里云服务器后，确保安全是首要任务。以下是针对新手的详细安全建议，从基础到进阶层层加固：

立即修改默认账户
- 首次登录后禁用或重命名默认的 root（Linux）或 Administrator（Windows）账户。
- 创建新的管理员账户，并赋予有限权限（Linux 用 sudo，Windows 用非管理员账户）。
强化 SSH 访问（Linux）
- 禁用密码登录，改用密钥对：
```
# 修改 /etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
```
- 更改默认 SSH 端口（如改为 2222）：
```
Port 2222
```
- 重启 SSH 服务：systemctl restart sshd
配置安全组（防火墙）
- 最小化开放端口：仅开放必要端口（如 Web 服务器开 80/443，SSH 改端口后只开放自定义端口）。
- 限制 IP 访问：对 SSH、数据库等管理端口，仅允许自己的 IP 访问（可通过 whatismyip.com 查看当前 IP）。
- 示例安全组规则：
  - 允许 HTTP/HTTPS：0.0.0.0/0
  - 允许 SSH：你的公网IP/32，端口自定义
  - 拒绝所有其他入站流量

更新系统和组件

# Linux
sudo apt update && sudo apt upgrade -y  # Debian/Ubuntu
sudo yum update -y                      # CentOS/RHEL

# Windows
# 启用自动更新，或定期手动更新

安装基础安全工具

防火墙：Linux 用 ufw（简单）或 firewalld，Windows 启用系统防火墙。

# Ubuntu 启用 ufw
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow 2222/tcp  # SSH 自定义端口
sudo ufw enable

入侵检测：安装 fail2ban（Linux）自动屏蔽暴力破解 IP。
```
sudo apt install fail2ban
sudo systemctl enable fail2ban
```

管理账户与权限
- 删除无用账户，检查是否有陌生用户：cat /etc/passwd
- 限制 sudo 权限：visudo 编辑仅允许必要用户。
数据与备份
- 系统盘快照：首次配置完成后，通过阿里云控制台创建系统盘快照。
- 定期备份网站数据或数据库到 OSS 或本地。

Web 服务安全
- 使用 Nginx/Apache 时隐藏版本号，配置 HTTPS（阿里云免费 SSL 证书）。
- 避免使用默认管理路径（如 /admin、/wp-login.php）。
数据库安全
- 修改默认端口（如 MySQL 的 3306）。
- 禁止数据库网络访问，仅允许本地 127.0.0.1。
- 使用强密码，定期清理无用账户。
代码与 CMS 安全
- 及时更新 WordPress/Discuz 等 CMS 及其插件。
- 文件权限最小化：网站目录设置为 755，配置文件禁止 web 访问。

日志监控
- 定期检查系统日志：/var/log/auth.log（登录日志）、/var/log/secure（安全日志）。
- 阿里云控制台查看云监控，设置异常登录报警。
安全扫描
- 使用阿里云 安骑士（云安全中心） 免费版进行漏洞检测。
- 定期用开源工具自查：lynis（Linux 安全扫描）、ClamAV（病毒扫描）。
应急准备
- 保留阿里云工单支持渠道：遇到可疑攻击时及时联系。
- 准备隔离方案：若被入侵，立即断开网络（安全组禁用所有端口），用快照恢复。

通过以上步骤，可大幅降低被入侵风险。安全是一个持续过程，建议每周花 10 分钟检查日志和更新状态。如有具体应用场景（如搭建电商网站、博客），可进一步针对性加固。