纯小白 请问怎么保护自己的服务器

设置仅密钥登录, 限制 IP

但如果服务器不对外开放的话... 建议用 WireGuard

22 端口一般是没事的 主要是 2379 端口 不开就行了

22 端口密码设置复杂一些问题不大的

几个基本点做到了足够应付 90%的问题：
1 ，公网一定不能密码
2 ，用不到的端口不开，用到的端口如果可以使用非默认端口最好，管理型用途端口配合白名单 ip
3 ，堵住自身系统漏洞，别 443 的网站发布一个随意上传文件之类的漏洞
4 ，经常检查，以便于识别出可疑文件，可疑进程，可疑资源占用等风险点
5 ，其他

只开 sshd 。
用公钥进行 ssh 连接，关闭密码连接，关闭 root 用户连接
测试就搞个 tailscale ，想用啥端口用啥端口，不用过防火墙

禁用密码登录, 改为私钥登录

上面几位已经说完了.
不用密码, 用 key 登录, 关掉 root
关掉所有端口, 只留自己用到的.

吐槽一下, 这两点 aws 就做得挺好, 就是劳资已经忘记了切到 root 用户的密码是啥....

如果要开放端口，更改下默认的端口。

改高位数的端口。密码倒是无所谓。
重要的是，系统得带有自动备份。不畏惧

用 tailscale 组虚拟网，禁 ping 然后不开任何端口，服务器搞炸了就用 vnc 上去修，保证不出问题

开启 SELinux

@cweijan 赞

@wu67 aws 直接用 session manager 啊

密码复杂点,不需要私钥的.

@whileFalse 布吉岛. 我只是用来跑一下 v2 aria2 ftp, 别的就不管了, 反正现在能跑, 哪天炸了我直接重装算了

ssh 跟换端口，使用秘钥登录，或者直接限制内网登录（ wg 搭建内网），应用使用容器进行部署。

楼上居然没有人提到 docker ，这一看就是开放了 docker 端口造成的。
可以本地安装一个 docker cli ，配置一下，直接能操作远程的 docker 。

同小白，希望路过的大佬给看下，我的问题是 我的服务器准备到期了，打算重新买一个轻量的（ 1 核 2g 2 核 4g 带宽 5M ？），不知道哪有比较便宜的呢？背景是 我不是 aliyun 和腾讯云的新用户 学生认证的已经用过了。感谢

ssh+2FA+fail2ban ，这个配置改不改端口无所谓，因为 brutal attack 触发 fail2ban 的规则就永 ban 了。
安装用官方方法，不要用一键安装脚本之类的，有的时候后门是你自己请进去的。装的软件越多，可能的漏洞就越多，所以按需安装，不要装一堆有用没用的。
用 webui 管理配置的程序，可以用 nginx 反代，这样不用的时候就关掉反代。

我目前是防火墙只开 22 ，只允许密钥登陆；所有服务都用 docker 管理，docker 不映射任何端口（ web 服务一律走 cloudflare tunnel ）