拿到新的 digital ocean 的一台 vps 需要做哪些事情

差不多够了

把密码登陆禁掉，换私钥登陆

其实你把你前面说的都做了，就基本差不多了，最可怕的就是光看/说不做

改SSH端口禁用root登陆就行了
CentOS 7的初始化设置可以参考我的博客：
https://blog.trusty.wolf.moe/
博客的美国节点就是使用了Digital Ocean的纽约机房的VPS ^_^

官方的：
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-centos-6

好吧。这是我从v站搜索到的

分享给有需要的人

===

1、修改iptable只开放80端口(或需要使用的其他端口)
2、新建一个用户(eg:tweb)，分配某块区间(eg:/usr/www/myweb)的读写权限，并禁止其登陆。tomcat就交给这个用户管理。这样，及时网站被破解了拿到了用户密码，也只能操作这个区间内的东西，不会影响你其他的分区和资源。
3、不要拿tomcat做http服务器，装nginx或apache做这个事情。把图片、css、js等静态资源交给nginx处理，动态请求交给tomcat处理。
4、用类似Fail2Ban这样的东西限制登录次数，保证不被穷举破解。
5、其实，Linux的安全核心应该是：用户+iptable。二者配合，足够啦。

===

另一条

做物理隔离最简单，VPN次之，上公网后安全没有一劳永逸，有的搞。
以linux中debian/ubuntu为例，最基础的：

1. 系统内核参数，改/etc/sysctl.conf 跳转参数。
2. 端口只开放 ssh/http/https， 改ssh 端口到其它数字，并fail2ban，
条件许可时ssh用ip白名单、纯证书访问。
3. 服务器内各进程权限独立，特别是私有程序编译时，除了守护进程用root，其它全部降权。
4. 用户权限与文件夹权限：关闭root登陆，管理员另起sudo用户名，web文件夹755 文件644
各种配置文件640加服务器Deny Access Protection，多用户隔离。
5. 如果允许用户上传文件，取消一切执行权限，最好放在另一台media服务器。
6. Hot Links/Reverse Proxy偷流量好防，DDOS被盯上就要出血，穷人解法用varnish/load balancer稍微挡一下，总之得烧钱。

网站程序自身还要具备各种Validation, SSL加密敏感交互，特殊字符escape，防SQL注入和XSS机制。
Tomcat 和 Oracle具体防护又是另外话题了，感觉运维里面很大一部分成本被安全占了。


===


对于确保linux系统安全的，不知道大家还有没有心得。

我就把密码改成一个50位以上随机生成的密码，装个ss，其他的什么都不改也没见被人黑了

使用公钥登录就不担心弱口令问题了

DisactiveOcean
DontOrder

（略瞌睡晕了拼写错误了）
DeactivateOcean

阿里云的，找客服给装了系统，就直接用了。。

有人要用我的邀请链接吗? 各得10刀 https://www.digitalocean.com/?refcode=05c6c3707940