关于个人服务器安全

还有个直接点的办法，写个程序调用云厂商的 SDK 或防火墙开启你需要的端口，并把当前本地 IP 设为白名单，然后再加上关闭和移除白名单的操作，实现一键开关 hhh 。

另外如果你是云平台,可以利用他们自己的防火墙
比如阿里云,直接用 aliyuncli 工具控制安全组,要用的时候添加自己 IP 为白名单,就算不关闭也无所谓,总不可能攻击者会使用你的 IP 吧?

@locoz 请问为什么要端口全关的呢，那些没用到的端口会引起什么问题吗？看到一楼也是全关这个观点，图方便安全组全开的我开始慌了~

都已经是个人服务器了，如果是被攻破就会被抓的话，那最简单靠谱的就是开防火墙，只允许跳板主机访问 ssh 就结束了，其他的都是多余的举动。被攻破不会被抓的话就装个 fail2ban 就结束了

@locoz
@CallMeReznov 动态修改防火墙，iptable 和云服务器 API 其实都可以做到。我还是想找找能不能在建立连接时，产生一个 callback 给我的脚本，我的脚本再发送邮件，让我可以感知到有人在尝试建立连接，并远程修改白名单。攻击者使用我的 IP 确实也不现实。


@flypei @xingyue 舍弃便利去换取一点点安全感吧


@jilu171990 把 fail2ban 忘记了，那基本上是可以了



总结一下，

1. ipset + iptable 做 port knocking 。 或者通过另一个服务器以某种形式动态调用 iptable 或云服务器 API

2. VPN / zerotier / frp (stcp + socks) / jumpserver

3. fail2ban 监控

你们这些都只能防君子，有个漏洞随便入侵。

最简单的是在上面部署一个带密码的 ss server
其他端口全用防火墙关掉

@takemeaway 是的，这也是为什么我发帖提问

黑客来搞你的机器也是要花时间的。所以把基础的防护做好，及时打安全补丁，避免被扫到就行。
如果投入与产出不成比例，他们可没功夫跟你耗着。除非有其他原因被他们针对了，那再怎么防也不一定防得住。

@xfelix 哈哈 确实是一个成本博弈的事情