纯小白 请问怎么保护自己的服务器

大家思路都狭隘了，ssh 不一定是好的入口，只要不是弱口令，很难进来。主要还是服务器跑的程序，可能是未授权访问，也可能存在已知漏洞。ssh 用了半天配置来加固，结果应用写了个 SQL 注入，这就尴尬了。
几点建议吧：
1 、谨慎开启各类服务，如果需要开启请更新最新版，以及配置安全策略(因为很多组件默认不开启安全措施)。几个月前的那次私有云泄露，就是因为默认对象储存无鉴权。也有人说了，问题可能就是你开放的 docker 服务。
2 、避免口令复用，以及弱口令。
3 、及时更新软件、系统。
基本就差不多了，最后带一句，刚刚开始学习，别在意这些，大不了重新装系统呗，谁都是从小白过来的。

楼上都假设一定要用 SSH （
实际上完全可以把 SSH 关了，在控制台网页 VNC 连接，只要关掉就不用在乎这个“攻击面”了

别用 22 端口

改端口没啥用,高位端口一样有人扫,我这边家里防火墙检测到连续 3 次敏感端口扫描 ban ip, 因为高位端口 ban 掉的一周能上百

0. 不要使用来路不明的什么一键 xxx 脚本,软件自己根据手册安装配置,别把 root 权限就这么莫名其妙的交了
1. 如无必要不开放端口 /服务
2. 关掉 ssh 的密码登录,只用密钥登录
3. 把 fail2ban 装上,规则配好,有扫描 /入侵行为直接 ban
4. 定时升级对外暴露服务和系统的安全补丁
5. 定期检查如 /etc/passwd /etc/passwd- /etc/shadow /etc/shadow- ~/.ssh/known_hosts 这些敏感文件有无异常

楼上们说的都对,

我感觉 楼主中了这个坑 @yw121141111

我记得 docker-compose 里面的端口要 127.0.0.1:xxx:xxx 来映射, 不要 xxx:xxx 来映射, 不然就会有风险,暴露所有端口出去.

@0001110001011 安全策略组会禁掉外网的，没在策略组开，相当于本地了吧？

@0001110001011 请问大佬可以举个例子吗？我没看明白 `docker-compose 里面的端口要 127.0.0.1:xxx:xxx 来映射`这段话？

privileged: true 把这个关了就行

密钥登录，改高位端口，装个 fail2ban ，还有谨慎使用一键脚本

@caomingjun
cloudflare tunnel 国内速度怎么样？

ssh 包装在了 v2 的后面，ufw 只留了 tcp443 和 wireguard ，443 外面套了 cf 。

密码发一下，让大家给你看看
http://5b0988e595225.cdn.sohucs.com/images/20190602/83dd61f559d44c579ba804ecadf9e9e4.jpg

@azev 我去年 2 月做过一次测试：
https://blog.caomingjun.com/cloudflare-tunnel-speedtest/
国内还是比较慢的。时间比较长，不一定准了。如果服务器在国内我还是不建议用，可以把防火墙限制到仅国内可以访问，攻击面小很多。

centos 的机子可以用这个
https://github.com/zarte/vps_deploy
简单的防御措施

楼上正好给了个一键脚本的案例，像这种脚本都是要 root 权限的，所以运行脚本之前最好都自己审查一遍脚本确保没问题。

使用 UFW 设置只允许服务需要的端口。
就不用担心 Docker 设置不当对外暴露端口的问题了。
SSH 设置为仅允许 Key 登录，不允许 root 登录。最好也更改的 22 端口为其他的

ssh 密钥发一下，我帮你看看。

@hingle 对的. docker 映射端口会直接暴露. 我纳闷了好久才发现.

目前是官网网页登录 外部不可 ssh 其他的就是服务不要有漏洞

自动化渗透脚本扫一下，metasploit 之类的

没有已经公开了的漏洞就算很安全了，能挖 0day 的也不会来专门黑你