VPS初始化配置指南

在购买的vps上经常遇到ssh爆破登陆问题,所以有必要将ssh的22登陆端口修改为其他端口并且使用fail2ban进行非法ip封禁。同时教程还介绍了一些VPS常用的初始化软件安装以及配置操作。

修改SSH端口

使用 root 用户进入 /etc/ssh/ 目录: cd /etc/ssh/

使用 vim 打开 sshd_config 文件: vim sshd_config

在修改端口之前,先添加一个端口,找到 # Port 22 ,将 # 去掉,并在其下面加一行 Port 12354,然后保存并退出vim。

防火墙添加端口

向防火墙添加端口命令为:firewall-cmd --zone=public --add-port=12354/tcp --permanent

reload防火墙规则:firewall-cmd --reload

查看端口是否添加成功firewall-cmd --zone=public --query-port=123454/tcp

向SELinux中添加修改的ssh端口

添加端口之前需要先安装SELinux的管理工具 semanage:yum provides semanage

并安装其依赖工具包:yum install policycoreutils-python

安装好之后,查询当前ssh服务端口:semanage port -l | grep ssh

向SELinux中添加ssh端口:semanage prot -a -t ssh_port_t -p port tcp 12354

验证ssh端口是否添加成功:semanage port -l | grep ssh

添加成功之后重启ssh服务:systemctl restart sshd.service

使用新的端口验证登陆情况,验证成功后,使用vim删除/etc/ssh/sshd_config中的22端口即可。

注:SSR在安装SELinux之后会出现无法访问的情况,需要将在SELinux以及Firewall中添加ssr的端口,然后重启服务才可。

安装并配置fail2ban

1
2
yum -y install epel-release	#epel库里就有fail2ban 直接安装epel库就可以使用
yum -y install fail2ban #安装fail2ban

具体配置文件:

/etc/fail2ban/fail2ban.conf 日志设定文档
/etc/fail2ban/jail.conf 阻挡设定文档
/etc/fail2ban/filter.d 具体阻挡内容设定目录

修改配置文件jail.conf即可,注意修改之前进行备份:cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local 修改配置vim /etc/fail2ban/jail.conf 建议修改的选项如下

1
2
3
4
5
6
7
8
9
10
11
12
13
bantime = 60m	#封锁时间
findtime = 10m
maxretry = 3 #在findtime内出错3次则封锁
enabled = false #默认不开启全局,在下方开启所需模块即可

[sshd]
#
····
#mode = normal
enabled = true #增加这句话开启sshd监控,其他不用改动
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

修改配置文件后重启fail2ban:systemctl restart fail2ban

查看fail2ban状态:fail2ban-client status若显示

1
2
3
Status
|- Number of jail: 0
`- Jail list: sshd

则说明使用 fail2ban 进行 sshd ip 监控配置成功。

可查看封锁日志:cat /var/log/fail2ban.log

附:VPS快速搭建SSR教程

在~文件中新建tools文件夹,方便该类型工具存储:

1
2
cd ~
mkdir ./tools

更新插件(如果还没有更新过),并安装wget

1
2
3
yum update -y

yum install wget

使用ssr快捷安装工具安装:

1
wget -N --no-check-certificate https://raw.githubusercontent.com/ToyoDAdoubi/doubi/master/ssr.sh && chmod +x ssr.sh && bash ssr.sh

运行以上命令后会出现ssr管理界面,输入1安装

  1. 端口号,建议选择10000以上不常见的端口,避免发生冲突
  2. 设置ssr的密码,要保存好自己的密码
  3. 设置加密方式
  4. 协议插件
  5. 是否兼容原版,选择y兼容
  6. 混淆插件
  7. 之后的端口最高同时在线数量、单端口速度上限、总速度上限默认即可

安装完成后会出现配置信息,使用该信息即可登录ssr,至此ssr安装完成,若需要再次进行管理,在ssr目录下运行

1
bash ssr.sh

如果无法使用,可以检查防火墙端口开放情况、SELinux端口开放情况以及服务器供应商控制面板上的端口开放情况。