纯小白 请问怎么保护自己的服务器

买杀毒软件装一个就行了。

楼上都说得很好，我再补充一个关键点：不要用阿里云

VPS 就是密钥登陆+尽量不开端口
NAS 就是路由器防火墙不开 web 之外的端口

只对公众暴露 80 和 443 端口。ssh 用的 22 端口改成高位端口，比如 49214 什么的，然后每次登录都去安全组把自己的 IP 加白名单。
用阿里云面板上的安全组功能控制，系统内的防火墙可以关掉。

每次用好 ssh 关闭端口 这是公网服务器的基本原则哈

看看是不是 docker 开了 2375 端口，容易被提权

遵循最少服务原则，能不开的服务尽量不开。
所有服务采用普通用户权限运行。
软件包采用最新版本，定期升级。
确保服务的安全。比如开了 redis ，就不能空口令或弱口令。开了 web 站点，就要确保 web 站点没有 sql 注入，命令执行等漏洞。

1 、完全重做系统（保证系统用的是干净的官方版，最好阿里云的那些破 monitor 也别装）。
2 、防火墙（阿里云网络安全组）设置入方向全部关闭。
3 、使用阿里云登录（如 vnc ），在上面装个 tailscale 。可以开 tailscale ssh ，也可以单独开 ssh （但建议绑定 ssh 服务在 tailscale 的 100.x.x.x 接口上，如果修改 ssh 端口、使用公钥登录禁用密码登录就更好了）。
4 、后续都适用 tailscale 访问。
5 、使用 docker 的话，看楼上一堆说 2375 口的安全问题，但我记得默认是不开 2375 的，只是用 linux sock 访问的。如果需要使用 tcp 访问 docker api ，建议开启 docker api tcp 访问的双向 tls 加密。
6 、说句实在话，挖矿这东西大多数不是别人黑（登入）进你的设备给你装的，多半是你自己下载执行些程序搞的，尤其是玩 docker 的话，小心 docker 镜像被挂马或者挂挖矿脚本。

遠離 docker

网线拔了

禁止 root 密码登陆
普通用户名和密码不要简单 比如 test test123
fail2ban 设置密码错误三次到五次就拉黑 1024000000 秒
防火墙除了必要的都不开
内核老的滚上新内核
装个 vpn 自己用、vpn 子网里面不做限制自己想开啥端口就开啥端口

开 ssh ，我上去检查一下

加个 otp 基本可以解大部分了.

@azev 我这边电信能跑到 1MB/s ，但是新疆、移动等地区或运营商，或因为线路，或因为政策，可用性较差。

改下 ssh 端口，ssh-keygen 创建密钥，修改 /etc/ssh/sshd_config 设置密钥登陆

主要考虑你跑的程序安全性就行了。系统默认就只有 sshd 端口而已，sshd 端口不要对外开放就是了。

我是 vps 到手先这样：
1. ssh 新用户、用密钥、禁密码、禁 root ；
2. ufw 只开一部分要用的；
3. f2b 限制一下十分钟内的错误次数；
暂时没用别的，顺道请问一下路过的彦祖：
国外的 vps 用上面那些朋友说的 tailscale 方案，会不会因为过墙而被消灭？最近这段时间阵亡的比较严重…

装一个 sshguard

1 不用的端口不开
2 ssh 仅秘钥登录
3 不直接使用 root 账户，禁用 root 远程登录
4 最重要的一点，不明的程序不要运行，内部破坏是最容易的

我服务器上面装的东西都没有对外开放的需求，就开了一个 WireGuard 端口，通过 WG 访问