前言

系统更新

• 新机器到手, 应当立即进行软件包更新, 下面的教程将默认在系统所有软件包处于最新状态

• 仍然使用 Debian 10 或更旧版本的, 建议升级到 Debian 11 / 12. Debian 12 在我自己的 1c0.5g 的机器上也能流畅运行, 所以大可放心, 或者只升级到 Debian 11 问题不大. Debian 10 的 LTS 支持将在 June 30th, 2024 结束, 建议在此之前升级.

• 升级大版本/更新内核是有一定机率导致 GRUB 加载失败进而启动失败的, 除非你是物理服务器, 以及没有用过奇奇怪怪定制或修改的内核的 KVM 构架的 VPS 和云主机. 切记备份重要数据!

• OpenVZ 6 和 LXC 构架的 VPS 是无法升级的，因为没有自己独立的内核(所以, 除非灵车别碰 LXC, 老老实实买 KVM 虚拟化的机器)

• 再强调一遍: 一定要备份重要数据!

• 不要跨大版本升级, 一步步来, 例如从 Debian 9 升级 Debian 11, 先升级到 10, 再升级到 11, 依此类推.

SSH 安全篇

1. 配置密钥登陆

下列操作在本地 Powershell 执行
• 执行 ssh-keygen -o -a 256 -t ed25519, 此处 ed25519 是加密算法的一种, 不用理会. 提示输入将私钥保存在哪里, 默认保存在 C:\Users\{your user name}/.ssh/, 文件名 id_ed25519

• 随后提示输入密钥密码, 最好设置一下, 输入密码后回车, 能保证私钥不泄露也可以直接回车留空. 输入密码时, 不会有显示:

• 提示再输入一遍, 再输入一遍密码就行, 前面留空这儿也留空

• 生成完毕, 提示公钥私钥的保存位置. 如下例子, C:\Users\Hantong/.ssh/id_ed25519.pub 就是接下来将保存到服务器的公钥, C:\Users\Hantong/.ssh/id_ed25519 就是登陆用的私钥

用 Notepad 打开公钥文件 C:\Users\Hantong/.ssh/id_ed25519.pub并复制内容到剪贴板备用

下列操作在 VPS 执行

• 尝试用私钥登陆, 登陆成功证明前面的操作没问题

• 配置 sshd_config

防火墙篇

• 基本命令(新机到手执行):

常用命令参考(更多此处没列出的命令请直接执行 ufw, ufw 会告诉你用法, 或者 Google 一下)
• 启用 UFW: ufw enable
• 禁用 UFW: ufw disable
• 列出当前活动规则(详细地): ufw status verbose
• 列出当前活动规则(带序号): ufw status numbered # 此处序号标识了此条规则
• 允许某 CIDR 访问本机所有端口: ufw allow from {CIDR}
• 阻止某 CIDR 访问本机所有端口: ufw deny from {CIDR}
• 允许访问某端口: ufw allow {PORT}
• 对某一 CIDR 暴露某端口: ufw allow from {CIDR} to any port {PORT}
• 阻止访问某端口: ufw deny {PORT}
• 对某一 CIDR 阻止访问某端口: ufw deny from {CIDR} to any port {PORT}
• 删除某规则: ufw delete {RULE}|{NUM}
• 可以是你原来执行的命令 RULE, 如原来执行了 ufw allow 443, 要删除此规则, 就是 ufw delete allow 443, 其他依此类推
• 还可以是前面提到的规则序号 NUM
• 将规则 RULE 插入规则列表位置 NUM: ufw insert {NUM} {RULE}, 如 ufw insert 1 allow 443 表示将规则 allow 443 插入到规则列表第一位
• 注意: 此处的规则列表位置 NUM 应当区分于前面提到的 序号, 因为 ufw 规则包括 v6 规则, 而使用 ufw status numbered 列出规则列表时, v6 的规则的规则是接着 v4 的继续列下去的.

更多地
• 建站用途, 且使用 Cloudflare CDN, 完全可以不暴露 HTTPS 端口, 服务器只对外暴露个 SSH 端口, 安全得一批, 具体参见后面将要提到的 Cloudflared.
• 服务器只对少数人提供服务, 不面向公网, 或者部分服务不希望暴露到公网, 可使用虚拟内网方案, 参见后面.

Nginx 篇

DNS 及 SSL 篇

后面的两个解决方案是我个人觉得比较好的, 但是每个人情况不一样, 仅供参考, 欢迎大家分享自己的方法~

虚拟内网篇(Zerotier)

• 官网 注册账号登陆

• 点击 Create A Network, 下面就会出现一个 network, 点进去
• Basics 设置
• Network ID 网络 ID, 等下会用
• Name 网络名称, 你可以设置为自己喜欢的名字
• Access Control 配置网络是私有的还是公开的, 我们组自用的虚拟内网当然是 Private 啦
• Advanced 设置
• IPv4 Auto-Assign 建议选择和家里内网错开的内网网址段, 别用 192.168.** 这种用烂了的.
• IPv6 Auto-Assign 没必要, 不用管

• 在电脑/ VPS 上安装 zerotier 客户端, 官方 tutorial

• Windows 管理员权限打开 Powershell, Linux 用 root 登陆 SSH, 然后执行 zerotier-cli join {Network ID}, Network ID 就是前面提到的网络 ID.

• 打开管理控制台 https://my.zerotier.com/network/{Network ID}, 在 Members 处你会看到刚刚加入的设备, 勾上 Auth 栏的复选框, 这个设备就正式成功加入这个虚拟内网中了~ VPS 侧执行一下 ifconfig 就能看到分配的 IP 了, 当然你也可以自己在控制台手动分配一个.

• 防火墙记得允许 9993 端口进出站: ufw allow 9993

Cloudflare ZeroTrust Tunnel 篇

• 安装 cloudflared, 官方 Tutorial: https://pkg.cloudflare.com/index.html, 此处只给出 Debian 12 的安装命令

• 打开 Cloudflare 仪表板, 左侧找到进入 ZeroTrust 控制台, 左侧依次点击 Access -> Tunnel, 点击 Create a tunnel 创建 Tunnel
• Tunnel name 填个名字, 下一步
• Choose an operating system, 点击 Debian, 复制右下方 If you already have cloudflared installed on your machine: 处的命令 sudo cloudflared service install *** 到 VPS 终端执行. 连接成功后下面的 Connectors 就会显示出来, 下一步
• 填写 Subdomain, 我个人按照 国家-地区-VPS商家-cf-tunnel 来规范命名, 如 cn-hk-ali-cf-tunnel; Type 选择 HTTP 或者 HTTPS (用 Cloudflare Tunnel 连接源站也没啥必要 SSL 了, 直接用 HTTP 没问题, HTTPS 还有证书问题挺麻烦的), Url 按实际情况填, 如 127.0.0.1:80 或 127.0.0.1:443. 使用 HTTPS 时, 源站若使用自签证书务必在下面 TLS 处把 No TLS Verify 勾上, 顺带也可以开个 HTTP2: HTTP2 connection
• 特殊地, 若服务器为 v6 only, 需要编辑 /etc/systemd/system/cloudflared.service 文件, 找到 ExecStart=/usr/bin/cloudflared --no-autoupdate tunnel run --token *** 这行, /usr/bin/cloudflared 后面加个参数 --edge-ip-version 6, 即: ExecStart=/usr/bin/cloudflared --edge-ip-version 6 --no-autoupdate tunnel run --token ***

结语