域名注册

首先注册域名，选择的网站是freenom.com 因为不需要备案
另外一个namesilo收费也可以考虑

dns 解析

然后使用dns.he.net进行dns解析
具体操作为Change NameServer为linode的server service
详细步骤

ftp搭建

参考资料
（注意把其中root改成自己的id）

sudo apt-get update
sudo apt-get install vsftpd
sudo systemctl start vsftpd
sudo systemctl enable vsftpd
sudo service vsftpd start
sudo vi /etc/vsftpd.conf

anonymous_enable=NO             # 关闭匿名登录
local_enable=YES        # 允许本地用户登录
write_enable=YES        # 启用可以修改文件的 FTP 命令
local_umask=022             # 本地用户创建文件的 umask 值
dirmessage_enable=YES           # 当用户第一次进入新目录时显示提示消息
xferlog_enable=YES      # 一个存有详细的上传和下载信息的日志文件
connect_from_port_20=YES        # 在服务器上针对 PORT 类型的连接使用端口 20（FTP 数据）
xferlog_std_format=YES          # 保持标准日志文件格式
listen=NO               # 阻止 vsftpd 在独立模式下运行
listen_ipv6=YES             # vsftpd 将监听 ipv6 而不是 IPv4，你可以根据你的网络情况设置
pam_service_name=vsftpd         # vsftpd 将使用的 PAM 验证设备的名字
userlist_enable=YES             # 允许 vsftpd 加载用户名字列表
tcp_wrappers=YES        # 打开 tcp 包装器

然后建个服务器，记得切换系统为ubuntu(具体看我的其他文章)

网络的设置

网络连接的混淆(注意其中直连设置为"127.0.0.1：6666")
网络连接的设置
caddy设置
重定向

curl -s https://getcaddy.com | bash
sudo chown -R root:www-data /etc/caddy
sudo touch /etc/caddy/Caddyfile
sudo mkdir /etc/ssl/caddy
sudo chown -R www-data:root /etc/ssl/caddy
sudo chmod 0770 /etc/ssl/caddy
sudo mkdir /var/www
sudo chown www-data:www-data /var/www
sudo curl -s https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service -o /etc/systemd/system/caddy.service
sudo systemctl daemon-reload
sudo systemctl enable caddy.service
sudo systemctl status caddy.service
sudo vim /etc/caddy/Caddyfile

https://toyoo.ml:6666 {
 root /usr/local/caddy/www/ssr
 timeouts none
 tls [email protected]
 gzip
}
或者反向
https://toyoo.ml {
 gzip
 tls [email protected]
 proxy / https://www.baidu.com
}

sudo systemctl start caddy

配置修改

 "redirect": ["127.0.0.1:6666"],

防止被ping

sudo vim /etc/sysctl.conf

文件最后加上

net.ipv4.icmp_echo_ignore_all = 1

最后sysctl -p
其他资料

方法一
在root目录下
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 禁止
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all 解除
方法二
在root目录下
iptables -I INPUT -i ech0 -p icmp -s 0/0 -d 0/0 -j ACCEPT 允许客服端ping
iptables -I INPUT -i ech0 -p icmp -s 0/0 -d 0/0 -j DROP 禁止客服端ping

防火墙设置

sudo apt-get install ufw
sudo ufw default allow outgoing
sudo ufw default deny incoming
sudo ufw allow 22
sudo ufw allow ftp
sudo ufw deny 6666
sudo ufw delete deny 6666
sudo ufw status
sudo ufw enable

自动安全更新

参考

sudo apt-get install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

决定安装哪些更新：

/etc/apt/apt.conf.d/50unattended-upgrades

设置更新频率：

/etc/apt/apt.conf.d/20auto-upgrades

查看登陆日志

查看登录成功的用户信息
命令: last
最新的登录记录在最前面，所以可以用一下命令来查看。
last | less

查看登录失败的用户信息
命令: lastb

查看登录日志
命令: tail /var/log/secure

查看登录IP
who /var/log/wtmp

软件更新

ubuntu安全体检

dpkg -l 
sudo apt-get update
sudo apt-get upgrade xxx

ddos防御

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod +x install.sh
./install.sh

白名单

/usr/local/ddos/ignore.ip.list

配置文件

/usr/local/ddos/ddos.conf

FREQ=1 #检测的频率为1分钟 
NO_OF_CONNECTIONS=100 #当单个IP超过100个连接请求时判定为DDOS

APF_BAN=1 #如果打算使用APF阻止IP，则设置为1（需要预先安装APF）；如果使用iptables，则设置为0； 

KILL=1 #是否阻止 

EMAIL_TO="[email protected]" #接收邮件 

BAN_PERIOD=600 #阻止时长，10分钟

资料

禁止bt下载

参考

wget -N --no-check-certificate https://softs.fun/Bash/ban_iptables.sh && chmod +x ban_iptables.sh
sudo ./ban_iptables.sh

禁用CNNIC证书

对于使用 Windows 下的 IE 或 Chrome 或 Safari 浏览器，则需要执行如下步骤：
1. 运行 Windows 的证书管理器（到命令行执行certmgr.msc）。
2. 选中“受信任的根证书颁发机构”=>“证书”。
3. 查看右边的证书列表。如果里面已经有CNNIC的证书，直接跳到第7步。
4. 先翻墙到“这个页面”下载现成的 CNNIC 证书（要解压缩出来）。
5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。
6. 出现一个导入向导，根据先导一步步的提示，把上述 CNNIC 证书导入到证书列表中。
7. 选中 CNNIC 证书，点右键。在右键菜单中点“属性”。
8. 在跳出的属性对话框中，选中“停用这个证书的所有目的”，然后确定。
9. 最后，为了保险起见，再把这三个证书，导入到“不信任的证书”中（方法和上述类似）。

时区修改

sudo cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

输入date查看

我的vps搭建