****

“我的VPS怎么突然变成‘公共网吧’了？！”某天深夜，当我发现服务器CPU飙到100%竟是因为有人在挖矿时，才意识到——危险端口没关，就像家门没锁，连隔壁二哈都能进来撒欢！今天就用血泪教训，带你手把手给VPS“上锁”。（文末送一键封禁脚本，懒人福音！）

一、危险端口为何是黑客的“VIP通道”？

想象一下：你家防盗门开着，还贴张纸条写着“WiFi密码123456”——这就是开放危险端口的VPS！黑客用扫描工具批量探测这些“漏洞”，分分钟就能：

- 22端口（SSH）：暴力破解你的root密码，直接接管服务器（相当于把家门钥匙塞在门垫下）。

- 3306端口（MySQL）：如果数据库弱密码，黑客能拖走全部用户数据（比如你的网站会员信息）。

- 6379端口（Redis）：无认证配置下，黑客可写入恶意代码（曾有公司因此被勒索比特币！）。

*真实案例*：某博主开了8080端口测试项目，结果被植入木马变成DDoS攻击“肉鸡”，流量费一夜破产！（别问我是怎么知道的😭）

二、必关端口清单+原理详解（附解决方案）

1. SSH默认22端口——头号通缉犯

- 危险指数：⭐⭐⭐⭐⭐

- 攻击手法：黑客用工具每秒尝试上万次密码组合（比如admin/123456），直到蒙对为止。

- 解决方案：

```bash

修改SSH端口为冷门数字（如35222），并禁用root登录

sudo nano /etc/ssh/sshd_config

Port 35222

修改这行

PermitRootLogin no

添加这行

sudo systemctl restart sshd

```

2. MySQL的3306端口——数据提款机

- 危险指数：⭐⭐⭐⭐

- 翻车现场：某论坛用户表被黑产打包出售，只因管理员密码是`root:root`。

```sql

-- 限制MySQL只允许本地访问

bind-address = 127.0.0.1

在my.cnf中修改

-- 并给数据库账户设复杂密码+限制IP白名单！

3. Redis的6379端口——比特币矿工最爱

- 骚操作预警：黑客通过未加密的Redis写入定时任务，自动下载挖矿程序。

强制Redis设置密码并禁用高危命令

requirepass YourSuperStrongPasswordHere

redis.conf中设置密码

rename-command FLUSHALL ""

禁用清空数据库命令

```

其他高危端口速查表：

| 端口 | 服务 | 风险 | 建议操作 |

|--|--|--||

|21 |FTP |明文传输密码|改用SFTP/FTPS|

|3389 |远程桌面 |暴力破解 |仅开放给办公IP|

|445 |SMB |勒索病毒入口|云平台安全组屏蔽|

三、进阶防护——用防火墙当“保安队长”

方案1：iptables一键封禁（适合技术宅）

```bash

禁止外部访问22和3306端口

sudo iptables -A INPUT -p tcp --dport 22 -j DROP

sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

保存规则（CentOS/Ubuntu命令不同）

```

方案2：UFW小白友好版

sudo ufw deny 22/tcp

封禁SSH

sudo ufw deny 3306/tcp

封禁MySQL

sudo ufw enable

记得先放行自己的新SSH端口！

四、终极偷懒技巧——自动化脚本分享

怕麻烦？保存这段代码为`secure_vps.sh`，chmod +x后运行：

!/bin/bash

自动关闭高危端口+修改SSH配置

sed -i 's/^Port .*/Port <你的自定义端口>/' /etc/ssh/sshd_config && \

echo "PermitRootLogin no" >> /etc/ssh/sshd_config && \

systemctl restart sshd && \

iptables -A INPUT -p tcp --dport {22,3306,6379} -j DROP && \

echo "VPS安全加固完成！记得自己测试新SSH端口连接！"

****

现在你的VPS终于从“裸奔”升级到“铜墙铁壁”了！最后灵魂拷问：

> “如果你家保险箱密码是生日，凭什么服务器密码敢用123456？”

赶紧检查一遍端口吧～遇到问题欢迎在评论区嚎我！（别忘点赞转发，救救其他还在裸奔的服务器😂）

TAG:vps关闭哪些危险端口,vps关机了怎么办,vps卡在关闭,vps关闭防火墙命令,vps安全防护