安全加固指南
別讓你的AI伺服器變成黑客的提款機
部署不難,但別忘了安全
很多人興衝衝地把服務跑起來了,結果連接埠裸奔在公網上,密碼還是 123456。等到被人掃到連接埠、伺服器被拿去挖礦,才後悔沒提前做安全加固。
這篇不講什麼高深的安全理論,就是幾個實打實的操作,花半小時做完,安全性提升一個量級。
常見的安全隱患
['連接埠直接暴露在公網,誰都能訪問', '用 root 帳戶跑服務,出事就是滅頂之災', 'SSH 還在用密碼登入,暴力破解分分鐘的事', '沒開防火牆,所有連接埠大門敞開', 'API Key 寫死在程式碼裡,推到 GitHub 就洩露了', '從來不更新系統,已知漏洞一堆']
完整的安全加固方案
['SSH 密鑰登入 + 禁用密碼', 'UFW 防火牆只開必要連接埠', 'Fail2ban 自動封禁暴力破解 IP', 'Docker 容器安全隔離', '定期系統更新 + 自動安全補釘']
第一步:SSH 金鑰登入
密碼登入是最大的安全隱患之一。改用 SSH 密鑰,暴力破解直接失效。
在你的本地電腦上產生密鑰
# 產生 SSH 密鑰對(一路回車就行)
在伺服器上停用密碼登入
# 編輯 SSH 設定第二步:防火牆設定
UFW 是 Ubuntu 自帶的防火牆工具,簡單好用:
UFW 防火牆設定
# 預設拒絕所有入站第三步:Fail2ban 防暴力破解
Fail2ban 會監控登入日誌,發現有人連續輸錯密碼就自動封 IP:
安裝和設定 Fail2ban
# 安裝第四步:Docker 安全設定
容器不是天然安全的,加幾個參數能堵不少漏洞:
docker-compose.yml 安全設定
services:
openclaw:
image: openclaw/openclaw:latest
security_opt:
- no-new-privileges:true
read_only: true
tmpfs:
- /tmp
- /var/tmp
deploy:
resources:
limits:
cpus: "2.0"
memory: 2G
environment:
- OPENCLAW_API_KEY_FILE=/run/secrets/api_key
secrets:
- api_key
secrets:
api_key:
file: ./secrets/api_key.txt加固流程總結
1
SSH 密鑰登入
產生密鑰對,上傳公鑰,停用密碼登入和 root 直連。
2
啟用防火牆
用 UFW 關掉所有不需要的連接埠,只留 SSH、HTTP、HTTPS。
3
Fail2ban 防暴力
自動封禁多次登入失敗的 IP,省得你天天看日誌。
4
Docker 隔離
限制容器權限、資源,用 secrets 管理敏感資訊。
5
定期更新
啟用自動安全更新,或者至少每週手動 apt upgrade 一次。
千萬不要把 API Key 硬編碼在程式碼或 docker-compose.yml 裡。用環境變數或 Docker Secrets 來管理。一旦推到 GitHub,機器人幾秒鐘就能掃到並盜用你的 Key。
想了解更多安全對比?看看這篇:各平台安全性對比
MOLILI 內建企業級安全方案,防火牆、密鑰管理、自動更新全都預設定好了,零設定開箱即用。
了解 MOLILI →