1.

准备与前置条件

小分段：1) 登录方式：使用控制台或SSH密钥登录云主机；2) 系统信息：执行 uname -a 和 lsb_release -a 或 cat /etc/os-release 记录发行版和版本；3) 提权：确保有 root 或 sudo 权限。实际操作示例：sudo -i；

2.

基础更新与包管理

小分段：1) 更新软件包（Ubuntu/Debian）：apt update && apt upgrade -y；CentOS/RHEL：yum update -y；2) 安装常用工具：apt install -y vim wget curl net-tools unzip；3) 定时自动更新（可选）：Ubuntu 安装 unattended-upgrades 并配置 /etc/apt/apt.conf.d/50unattended-upgrades。

3.

创建非root管理员账号与禁用root SSH登录

小分段：1) 新建用户并添加 sudo：adduser deploy && usermod -aG sudo deploy；2) 设置 SSH 密钥登录：在本地生成 ssh-keygen -t ed25519，复制公钥到 /home/deploy/.ssh/authorized_keys 并设置权限 chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys；3) 修改 /etc/ssh/sshd_config：PermitRootLogin no、PasswordAuthentication no，重启 SSH：systemctl restart sshd。

4.

SSH 安全强化（详细步骤）

小分段：1) 更改默认端口：在 /etc/ssh/sshd_config 中 Port 22022（示例），注意同时在防火墙开放该端口；2) 限制登录用户：AllowUsers deploy adminuser；3) 禁用空口令：空口令设置为 no；4) 配置登录提示与超时时间：LoginGraceTime 30、ClientAliveInterval 300、ClientAliveCountMax 2。

5.

防火墙配置（使用 ufw/nftables/iptables 示例）

小分段：1) ufw（Ubuntu）基础：ufw default deny incoming && ufw default allow outgoing；允许SSH：ufw allow 22022/tcp；启动：ufw enable；2) nftables/iptables：示例保存规则并设置开机加载；3) 云控制台安全组：确保云平台安全组与主机防火墙规则一致，避免锁死自己。

6.

安装并配置 Fail2ban 防暴力破解

小分段：1) 安装：apt install -y fail2ban；2) 创建本地配置 /etc/fail2ban/jail.d/defaults.local，示例内容：[sshd] enabled = true port = 22022 maxretry = 5 bantime = 3600；3) 启动并查看状态：systemctl enable --now fail2ban && fail2ban-client status sshd。

7.

系统内核与网络安全参数调整（sysctl）

小分段：1) 编辑 /etc/sysctl.conf 添加建议项：net.ipv4.ip_forward=0、net.ipv4.conf.all.rp_filter=1、net.ipv4.conf.all.accept_source_route=0；2) 生效：sysctl -p；3) 限制 ICMP 与 SYN 攻击：net.ipv4.tcp_syncookies=1 等。

8.

应用服务安全（Web/数据库）

小分段：1) Web 服务器（Nginx/Apache）以最小权限运行，关闭不必要模块；2) 强制 HTTPS：使用 Certbot 申请 Let’s Encrypt 证书并在配置中启用 HSTS；3) 数据库安全：限制远程访问（bind-address=127.0.0.1）、重置默认密码、删除匿名用户并运行 mysql_secure_installation。

9.

日志监控与审计

小分段：1) 安装 rsyslog 或更高级 ELK/Graylog 集中化日志；2) 开启审计：Ubuntu 安装 auditd 并配置 /etc/audit/audit.rules 记录关键文件更改；3) 日志轮转：确认 /etc/logrotate.d 有策略并测试 logrotate -f /etc/logrotate.conf。

10.

备份与恢复策略

小分段：1) 方案：文件快照 + 数据库定期导出（mysqldump 或 pg_dump）+ 异地存储（对象存储或第三方）；2) 自动化脚本示例：写一个 cron /etc/cron.d/backup 每日执行备份并上传到 S3；3) 定期演练恢复，验证备份可用。

11.

漏洞扫描与常用检测工具

小分段：1) 本地端口扫描：nmap -sS -Pn -p- ；2) 漏洞扫描：使用 OpenVAS 或 Nessus 做全面扫描；3) Web 漏洞检测：使用 Nikto、OWASP ZAP 做自动化检测；4) 及时根据扫描结果打补丁或限制暴露面。

12.

日常运维建议与安全基线检查清单

小分段：1) 每周：apt/yum 更新并重启必要服务；2) 每日：检查 auth 日志（/var/log/auth.log 或 /var/log/secure）异常登录；3) 每月：审计用户组、SSH 公钥、开放端口清单；4) 保持最小权限原则、最小暴露端口。

13.

问：在柬埔寨云服务器上如何快速确认SSH是否安全？

答：先检查 /etc/ssh/sshd_config 是否禁用密码和root登录（PasswordAuthentication no、PermitRootLogin no），确认SSH端口已更改（非22）并在防火墙中只允许管理IP，使用 ssh -p 新端口 检查登录，结合 fail2ban 查看 banned 列表：fail2ban-client status sshd。

14.

问：防火墙和云平台安全组哪个优先，如何避免误操作造成断网？

答：两者都关键，优先在云平台控制台配置安全组（云端网络入口），同时在主机配置防火墙作为二次防线。修改防火墙前通过控制台打开临时控制台或保持控制台登录，变更后先测试新规则再保存，避免在远程会话直接关闭SSH端口。

15.

问：如何定期自动化检测并修复常见漏洞？

答：建立自动化流程：1) CI/运维服务器定期运行 vulnerability scanner（OpenVAS/Nessus）并生成报告；2) 使用配置管理工具（Ansible/Chef）自动修补已知包漏洞并重启服务；3) 将报警与修复流程纳入工单，关键补丁先在测试环境验证后逐步发布。

来源：柬埔寨云服务器安全配置与常见漏洞防护操作详解