香港 VPS 因免备案、低延迟、即开即用,成为外贸建站、跨境业务、个人站点的首选。但免备案≠裸奔,缺乏安全加固极易遭遇暴力破解、SQL 注入、数据泄露、DDoS 攻击。本文提供一套可直接落地的香港 VPS 安全加固方案,覆盖 SSH 加固、防火墙、权限控制、WAF、数据加密、备份与应急,零基础也能照做,大幅降低被入侵与数据泄露风险。
一、香港 VPS 为什么必须做安全加固?
香港 VPS 面向公网开放,默认配置普遍宽松,常见风险集中在三点:
- 弱口令与 SSH 暴力破解:22 端口常年被扫描,弱密码几天内必沦陷。
- 端口与服务暴露:FTP、MySQL、Redis 等未限制,直接成为攻击入口。
- Web 漏洞利用:SQL 注入、XSS、文件上传漏洞,直接导致数据泄露。
免备案只是简化部署流程,不代表不需要安全合规与数据保护。加固后可抵御 90% 以上自动化攻击,避免网站被挂黑链、数据库被脱库、服务器被劫持。
二、香港 VPS 安全加固:10 步实战教程(Linux 优先)
1. 禁用 root 远程登录,创建管理用户
root 是黑客首要目标,必须关闭直接登录。
plaintext
useradd admin
passwd admin
usermod -aG sudo admin
编辑 SSH 配置:
plaintext
nano /etc/ssh/sshd_config
修改:
- PermitRootLogin no
- PasswordAuthentication yes(先加固密码,后续可改密钥)重启 SSH:
systemctl restart sshd
2. SSH 密钥登录,彻底关闭密码验证
密钥登录比密码安全 100 倍,杜绝暴力破解。
- 本地生成密钥对,上传公钥到
~/.ssh/authorized_keys - 再次修改 sshd_config:
PasswordAuthentication no - 重启 SSH 服务
3. 防火墙只放行必要端口(UFW/Firewalld)
遵循最小开放原则,只开 80、443、SSH 端口。
plaintext
# UFW示例
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
严禁开放:3389、21、3306、6379 等对公网。
4. 安装 Fail2ban,自动拦截暴力破解
专门防御 SSH、FTP、Web 后台暴力破解,失败 N 次自动封 IP。
plaintext
apt install fail2ban -y
systemctl enable --now fail2ban
默认规则即可拦截大部分扫描,企业可自定义封禁时长与阈值。
5. 系统与软件定时更新,堵死漏洞
漏洞是数据泄露的主要通道,保持更新是最低成本防护。
plaintext
apt update && apt upgrade -y
设置自动安全更新,避免 Log4j、OpenSSL 等高危漏洞被利用。
6. 文件与目录权限加固,防提权与木马
网站目录权限错误是 Webshell 上传的重灾区。
- Web 目录:目录 750,文件 640
- 配置文件:600
- 上传目录:禁止执行脚本
plaintext
find /var/www/html -type d -exec chmod 750 {} \;
find /var/www/html -type f -exec chmod 640 {} \;
7. 强制 HTTPS,安装 SSL 证书(防数据窃听)
明文传输会导致账号、密码、表单数据中途泄露。
- 免费用 Let’s Encrypt
- 配置 Nginx/Apache 强制 HTTPS
- 开启 HSTS,防止协议降级
8. 部署 WAF(ModSecurity),防注入与 XSS
对付 SQL 注入、XSS、恶意扫描、CC 攻击最有效。
- 安装 ModSecurity + OWASP CRS 规则
- 拦截非法请求、恶意文件上传
- 保护后台与接口不被暴破
9. 数据库安全:禁止公网访问 + 强密码 + 定期备份
数据库是数据泄露核心目标,必须隔离。
- 绑定 127.0.0.1,不对外暴露 3306
- 使用强密码,定期改密
- 限制数据库用户权限
10. 备份策略:数据泄露后的最后防线
遵循3-2-1 备份原则:
- 3 份副本
- 2 种介质
- 1 份异地离线
建议:每日增量 + 每周全量,并定期测试恢复。
三、Windows 香港 VPS 简易加固要点
- 关闭 3389 默认端口,或限制 IP 访问
- 开启 Windows 防火墙,只放行业务端口
- 禁用无用服务,关闭 SMB135/139/445
- 安装杀毒软件,自动更新补丁
- 启用账户策略:密码复杂度 + 锁定策略
四、安全检查与日常维护(必做)
- 用
nmap扫描开放端口,清理多余暴露 - 查看
lastb、secure日志,发现异常登录 - 定期扫描木马与后门(ClamAV)
- 监控 CPU / 带宽异常,防范被做肉鸡
- 重要业务搭配DDoS 高防,抵御流量攻击
五、总结:香港 VPS 安全核心三句话
- 免备案不代表免安全,不加固 = 主动送数据。
- 加固重点:SSH 强认证、防火墙最小放行、WAF 防注入、权限最小化、定期备份。
- 按本文步骤操作,可抵御绝大多数自动化攻击,显著降低数据泄露与被黑风险。
