服务器装好后，你一般做哪些安全上的优化？

反正我的 22 端口是个密罐，用来记录所有尝试登陆的密码

-=- root 禁了就不管了。

@zpvip 我这么写
iptables -A INPUT -p tcp --dport 2222 -m state --state NEW -m recent --set --name ssh --rsource
iptables -A INPUT -p tcp --dport 2222 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT

1) iptables 限制自己不用的端口
2) Web 程序的后台 Fail2Ban
3) SSH 禁用键盘交互(密码)，只能用公钥登录

补充，顺带的做 SSH 登录邮件提醒，感觉很有必要，在没两步验证的情况下

https://kn007.net/topics/email-alert-when-ssh-login/

看了大家的方案，这是个人自己玩玩可以；企业级的管理， xabcloud.com 的看看吧

改 ssh 端口，并且使用 RSA 私钥进行登录，禁用密码登录；使用防火墙关闭，所有端口，只开放自己需要的，比如我的服务器只开了 3 个端口， 80 ， 443 和 ssh 端口；定期打补丁。这是已经做了的，最近考虑写个脚本用来处理 nginx 的访问日志，比如说当有陌生 ip 在短时间内产生大量访问，并且有无意义的请求时，做黑名单处理；再写个脚本，定期监测 last 命令的输出，如果发现不是我的 ip 登录，给我发邮件啥的

改端口，改密钥，禁密禁 root 远程。

block in quick proto tcp from any os "Linux" to any port ssh

这个是炸鱼帖子...

1. 改 root 密码为 16 ～ 20 位随机密码。
2. 创建新用户，赋权，配置 rsakey 和授信 hosts ， key 根据情况加密码&定期更换。
3. 配置 sshd ，改端口，禁密码登录，禁 root 登录，禁用 pam （ openssl 后遗症）
4. ufw 简化管理 iptables ，开闭端口。
5. fail2ban 随便开几个需要的规则。
6. supervisor 守护 fail2ban 。
7. 如果有 1 ～ 2 台靠谱的机器，（任何网络下都能登录的， sla 高）当壁垒机器，其他机器仅允许从壁垒机上登录，定期维护这 1 ～ 2 个入口。
8. 二步个人不推荐，如果专有一台手机做 token 另外（最近几年频繁换手机， token 各种重置各种痛苦）

@soulteary ^-^ 嗯嗯嗯，好大一条鱼