摘要：# 个人搭服务器别裸奔，这份安全配置清单能救你 我前阵子帮一个朋友处理他的个人服务器，那场面真是哭笑不得。他自己搭了个博客，用的还是那种“一键安装”脚本，结果没两个月，服务器就成了“肉鸡”，流量跑得飞起，账单差点把他吓晕。一查，好家伙，SSH端口默认22…

个人搭服务器别裸奔，这份安全配置清单能救你

我前阵子帮一个朋友处理他的个人服务器，那场面真是哭笑不得。他自己搭了个博客，用的还是那种“一键安装”脚本，结果没两个月，服务器就成了“肉鸡”，流量跑得飞起，账单差点把他吓晕。一查，好家伙，SSH端口默认22，密码是“123456”，数据库端口直接对公网开放——这跟把家门钥匙插在锁上、屋里还放着存折有啥区别？

说实话，很多个人开发者或者爱好者，技术能力不差，能搞定代码和部署，但一到安全配置这块，就总觉得“我就一个小站，谁打我啊”。结果往往就是，等真出事了，数据丢了、服务瘫了，才后悔莫及。今天咱就抛开那些云厂商天花乱坠的营销话术，聊点实在的——个人搭建Web服务器，到底该怎么配置才不至于“裸奔”上网。

基础防线：把该关的门都关上

第一件事，改端口、强密码，别嫌麻烦。 我知道，默认的SSH端口22用起来最顺手。但你要知道，全网有多少扫描器24小时不停地在扫22端口，尝试各种弱密码组合。这就好比你家住一楼，还非要把窗户开着，小偷不惦记你惦记谁？

我自己的习惯是，服务器拿到手第一分钟，先改SSH端口。别用那些常见的“2222”、“22222”，选个10000到65535之间，相对冷门的数字。然后，立刻配置密钥登录，彻底禁用密码登录。密码这玩意儿，再复杂也有被爆破的可能，但一对RSA密钥，安全性就是另一个维度了。这一步做踏实了，就挡住了至少80%的自动化脚本攻击。

（私货：那些还在用“admin/admin”或者“root/123456”组合的朋友，我劝你善良，对自己服务器的寿命善良一点。）

第二，防火墙不是摆设，用起来。 不管是iptables、firewalld还是云服务商自带的防火墙规则，原理都一样：只开放必要的端口。你的Web服务用80和443？那就只开这俩。数据库（比如MySQL的3306）、Redis的6379，千万别图省事直接对公网开放。需要本地管理，走SSH隧道或者VPN进去操作。

我见过太多案例，图方便把数据库端口一开，没过几天就被人扫到，整个数据库被拖走，甚至被加密勒索。说白了，这等于把保险箱放在马路边上，还贴了张纸条：“密码试试0000”。

中间件加固：别让“自己人”成漏洞

Web服务跑起来，用的是Nginx、Apache，或者跑着PHP、Python。这些中间件和运行环境，默认配置往往是以“能用”为目标，而不是“安全”。

以Nginx为例，有几个小细节改了立竿见影：

1. 隐藏版本信息：在配置里加一句 server_tokens off;，这样别人在访问出错时，就看不到你的Nginx具体版本号，减少了被针对已知漏洞攻击的风险。
2. 限制HTTP方法：如果你的站点只是展示性的，用不到PUT、DELETE这些方法，就在配置里禁用掉。只允许GET和POST。
3. 配置安全的SSL/TLS：别再用老旧的TLS 1.0、1.1了。在Nginx的SSL配置里，优先用TLS 1.2、1.3，并选用安全的加密套件。这玩意儿配置一次，能管很久，但安全性提升一大截。

对于运行环境（比如PHP），关键就俩字：更新。 我知道维护旧版本代码兼容性很头疼，但很多漏洞都出在那些早已被修复的旧版本上。定期看看官方公告，该升级升级。至少，把 display_errors 关掉，别把报错信息直接吐给访客，那等于给黑客画了一张服务器内部的“藏宝图”。

应用层：你写的代码可能是最大短板

服务器和中间件都加固了，最后一道坎，其实是你自己写的程序。很多个人项目，注意力都在功能实现上，对安全漏洞的防范意识比较弱。

SQL注入和XSS（跨站脚本），这两个是老生常谈，但依然是重灾区。别再用字符串拼接的方式组SQL语句了，用参数化查询或者ORM框架。用户输入的地方，做好过滤和转义。这没什么高深技术，纯粹是个习惯问题。

文件上传功能，是高风险区。 如果你允许用户上传，一定要做严格的限制：检查文件类型（别光看后缀名，要看MIME类型），限制文件大小，最好把上传目录设置为不可执行。我见过有人写了个头像上传，结果被人上传了一个Webshell脚本，整个服务器权限直接拱手送人。

——说到这，可能有人觉得，我就一个静态博客，没这些动态功能，是不是就高枕无忧了？也不是。静态站也可能被黑，比如通过入侵你的FTP或者控制面板，或者劫持你的DNS。所以，密码管理和服务商账户安全（比如开启二次验证），同样不能马虎。

监控与应急：真出事了怎么办？

防护做得再好，也不敢说100%安全。所以，你得知道你的服务器“正在发生什么”。

装个简单的日志分析工具，或者定期自己tail一下Nginx的访问日志和错误日志。看看有没有奇怪的、高频的访问，比如大量尝试访问 /wp-admin（哪怕你根本不是WordPress），或者频繁尝试登录某个不存在的路径。这些很可能是攻击的前期探测。

另外，定期备份，这是最后的救命稻草。而且备份不能只放在同一台服务器上，最好能同步到另一个地方，比如对象存储或者另一台VPS。频率根据你内容的更新频率来，但至少每周一次。真被黑了，最坏的情况就是重装系统，然后用备份恢复数据。损失几天的更新，总比几年心血全没了好。

最后说点大实话

个人服务器的安全，其实是个“猫鼠游戏”。没有一劳永逸的方案，核心在于建立一个好的安全习惯和意识。别盲目追求那些听起来很炫的“高级防护”，先把最基本、最有效的措施做到位，你就已经比网上80%的服务器更安全了。

很多教程喜欢堆砌术语，把简单问题复杂化。但说白了，个人服务器的安全，核心就三件事：最小权限（只给必要的）、持续更新（修复已知漏洞）、保持警惕（看日志、做备份）。把这三点执行到位，你的小站就能安稳很多。

行了，别光看，现在就上去检查一下你的服务器配置吧。如果你的源站还在“裸奔”，你心里其实已经有答案了，不是吗？