VPS知识分享站安全组是VPS的第一道防线。很多人的VPS被入侵,不是因为系统有漏洞,而是因为该关的端口没关。
这篇文章用最简单的语言讲清楚安全组怎么配。
安全组是什么?
安全组是云服务商提供的一种虚拟防火墙。它控制着哪些IP可以访问你的服务器的哪些端口。
可以把它理解成一栋大楼的门禁系统:你规定哪些人(IP)可以进哪扇门(端口)。
萤光云的VPS默认有一套安全组规则,你可以在控制台中查看和修改。
常用端口和用途
先搞清楚哪些端口是干什么的:
| 端口 | 用途 | 是否需要开放 |
|---|---|---|
| 22 | SSH远程登录 | 需要开放 |
| 80 | HTTP网页访问 | 建站需要 |
| 443 | HTTPS网页访问 | 建站需要 |
| 3389 | Windows远程桌面 | Windows服务器需要 |
| 3306 | MySQL数据库 | 建议不对外开放 |
| 6379 | Redis | 建议不对外开放 |
| 8080 | 临时Web服务 | 按需开放 |
| 25 | 邮件发送(SMTP) | 通常需要申请 |
安全组设置的基本原则
最小权限原则。 只开放需要的端口,其他全部关闭。这是最核心的安全原则。
SSH端口限制IP。 不要把22端口对所有人开放。只允许你自己的IP地址访问SSH。
数据库端口不对外开放。 MySQL、Redis等数据库服务只允许本机(127.0.0.1)访问,不要对公网开放。
使用HTTPS代替HTTP。 生产环境只开放443端口,关闭80端口或重定向到HTTPS。
萤光云安全组配置方法
- 登录萤光云控制台
- 进入对应服务器的”安全组”或”防火墙”设置
- 查看现有规则
- 添加或修改规则
添加规则的格式:
– 协议:TCP / UDP / ICMP
– 端口范围:单个端口或端口范围
– 授权IP:允许访问的IP地址(0.0.0.0/0表示所有IP)
– 动作:允许 / 拒绝
推荐的安全组配置
基础建站服务器:
| 协议 | 端口 | 授权IP | 说明 |
|---|---|---|---|
| TCP | 22 | 你的IP | SSH登录 |
| TCP | 80 | 0.0.0.0/0 | HTTP访问 |
| TCP | 443 | 0.0.0.0/0 | HTTPS访问 |
| ICMP | – | 0.0.0.0/0 | 允许Ping |
只运行API的服务器:
| 协议 | 端口 | 授权IP | 说明 |
|---|---|---|---|
| TCP | 22 | 你的IP | SSH登录 |
| TCP | 8080 | 0.0.0.0/0 或 指定IP | API端口 |
| ICMP | – | 0.0.0.0/0 | 允许Ping |
服务器端防火墙(iptables/ufw)
安全组是云平台层面的防火墙。服务器本身也有操作系统防火墙,建议两层都配置。
UFW(Ubuntu推荐):
# 安装UFW
apt install ufw
# 默认拒绝所有入站
ufw default deny incoming
ufw default allow outgoing
# 允许SSH
ufw allow 22/tcp
# 允许HTTP和HTTPS
ufw allow 80/tcp
ufw allow 443/tcp
# 启用防火墙
ufw enable
查看规则:
ufw status verbose
你可能在想
安全组和防火墙有什么区别?
安全组在云平台层面生效,防火墙在操作系统层面生效。两者独立工作,需要同时配置才能确保安全。建议以安全组为主要管理工具,服务器防火墙作为补充。
开放了端口还是访问不了?
可能是安全组和服务器防火墙都配置了,但其中一层没有放行。需要检查两层规则是否一致。
怎么查看自己当前的公网IP?
在浏览器搜索”我的IP”或访问 ipinfo.io,就能看到你当前的公网IP地址。把这个IP填入安全组的授权IP中,就可以限制只有你能访问SSH。
改了安全组会不会断开连接?
如果新规则关闭了你正在使用的端口,会断开连接。建议在修改前确保有其他方式可以访问服务器(如VNC)。
