vps 防火墙关闭了 ping，各位在保护自己服务器上还有哪些高招求指点

为啥要关闭

禁止密码登录，防火墙默认禁止入站，ip 白名单

两台科学节点主备，每台 vps 白名单，ssh 用密钥加密码的方式且只允许该两节点访问，ssh 流量只通过科学通道代理，这样基本上就可以规避 0day 以外的风险了

web 走 cf 的 tunnel ，不直接暴露 web 端口到公网

关闭 22 端口，等自己需要 ssh 的时候再手动打开

我是把全部端口都关闭了，只开 1 个高位端口用于业务，ping 也是开着的

22 口只绑定 VPN 接口，然后确保 vmess 等协议做备用，防止 VPN 受干扰时无法正常连接

1. ssh 只用密钥登录
2. 不随意暴露端口，临时端口使用 ssh port forward 进行访问

禁 ping 不是骗自己？

只要做三点，保证服务器无懈可击，其他手段都是多余的：
1. SSH 禁用密码登录
2. ufw 按需开放端口
3. 及时做安全更新

不嫌麻烦可以用 port knocking

留一个 ssh 端口，禁用密码登陆就行了，好像最新版 ssh 还支持了 post-quantum 的 ssh key ，关了密码登陆后别忘自己试试看还能不能用密码登陆。。很多 ssh conf 会 include 目录里其他 conf ，其他 conf 可能依然启用了密码登陆

换 ssh 端口，禁 root ，iptables 除已用到的端口外默认 drop ，faile2ban 配置好。定期更新。

Fail2ban 装一下防止暴力破解，设置 3 次密码错误自动拉黑 IP ，加上复杂的密码，基本上没啥事。