RamiPwn/vps-security-hardening

# 🛡️ VPS 安全加固与蓝队运营 [](https://www.linkedin.com/in/rami-y-4286302a9/) [](#) [](#) [](#) [](#) [](#) ## 📝 执行摘要 对**生产环境 VPS** 进行全面的安全强化，实现**零停机时间**。实施**纵深防御 (Defense-in-Depth)** 架构，结合系统加固、高级可观测性以及双层入侵防御（HIPS + NIPS）。本项目记录了从被动安全态势向主动检测、防御和威胁猎杀运营的完整转变过程。 ## 🏗️ 整体架构 ``` ┌─────────────────────────────────────────────────────────────────┐ │ INTERNET TRAFFIC │ └──────────────────────────────┬──────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ PHASE 4 — NIPS · Suricata (Inline NFQUEUE) │ │ Deep Packet Inspection · TCP NULL/XMAS DROP │ └──────────────────────────────┬──────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ PHASE 1 — SYSTEM HARDENING · UFW · sysctl │ │ Surface Reduction · SYN Flood Protection · IP Spoofing │ └──────────────────────────────┬──────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ PHASE 3 — HIPS · CrowdSec + nftables Bouncer │ │ Behavioral Detection (SSH/NGINX) · Automated Banning │ └──────────────────────────────┬──────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ PRODUCTION SERVICES │ │ Nginx · SSH · Applications │ └──────────────────────────────┬──────────────────────────────────┘ │ ┌──────────▼──────────┐ │ │ ▼ ▼ ┌──────────────────────┐ ┌─────────────────────────┐ │ PHASE 2 — LGMA │ │ PHASE 3 — VictoriaMetrics│ │ Loki · Grafana │ │ CrowdSec Alerts & Metrics│ │ Prometheus · Alloy │ │ SOC Dashboard │ └──────────────────────┘ └─────────────────────────┘ │ ▼ ┌──────────────────────┐ │ PHASE 5 — THREAT │ │ HUNTING │ │ MITRE ATT&CK │ │ 5 Real Scenarios │ └──────────────────────┘ ``` ## 📂 项目结构与文档 点击下方链接访问详细的技术文档： ### 1. [阶段 1：系统加固](./phase-1-hardening/hardening-guide.md) - **内核优化：** 通过 `sysctl` 强化网络防护（SYN Flood, IP Spoofing, ICMP redirect） - **面缩减：** 服务审计，移除 Apache2，最小化攻击面 - **访问控制：** SSH 加固，禁用 root 登录 - **网络过滤：** UFW 默认拒绝策略 - **日志管理：** 严格的保留和轮换策略 ### 2. [阶段 2：可观测性技术栈](./phase-2-observability/monitoring-setup.md) - **部署：** 通过 Docker 部署 LGMA Stack (Loki, Grafana, Prometheus, Alloy) - **系统指标：** Node Exporter 仪表板（CPU, RAM, 磁盘, 网络） - **容器指标：** cAdvisor 单容器监控 - **日志集中化：** 通过 Alloy → Loki 管道收集 NGINX 日志 - **GeoIP 富化：** 在 Grafana 中进行国家级流量分析 ### 3. [阶段 3：使用 CrowdSec 实现 HIPS](./phase-3-hips-crowdsec/intrusion-prevention.md) - **行为分析：** 基于日志的检测（Nginx, SSH 暴力破解场景） - **GeoIP 富化：** 每个告警包含国家 + ASN 信息 - **告警通知：** SMTP 实时通知 - **存储优化：** 使用 **VictoriaMetrics** 接收 CrowdSec 指标 - **威胁处置：** 通过 **nftables Bouncers** 自动拦截（内核级） - **迁移：** 完整的 Fail2ban → CrowdSec 过渡 ### 4. [阶段 4：使用 Suricata 实现 NIPS](./phase-4-nips-suricata/network-protection.md) - **IDS → NIPS 转变：** 包含基线性能测试的分阶段部署 - **流量检测：** **内联模式** 下的深度包检测 (DPI) - **故障关闭：** **NFQUEUE** 配置确保没有流量绕过检测 - **零停机：** 热重载规则，不中断流量 - **回滚：** 已记录安全的回退程序 ### 5. [阶段 5：威胁猎杀报告](./phase-5-threat-hunting/hunting-scenarios.md) - **方法论：** 假设驱动、非侵入式的调查框架 - **场景：** 基于实时生产数据分析了 5 个真实攻击场景 - **MITRE ATT&CK 映射：** 每个场景的完整技术覆盖 - **防御验证：** 跨层关联（CrowdSec + Suricata + 日志） ## 🛠️ 核心技术栈 | 层级 | 技术 | 角色 | |---|---|---| | **网络 IPS** | Suricata | 内联 DPI, NFQUEUE DROP | | **主机 IPS** | CrowdSec | 行为检测, nftables 封禁 | | **防火墙** | nftables / UFW | 内核级执行 | | **指标** | Prometheus + VictoriaMetrics | 系统 + CrowdSec 指标 | | **日志** | Loki + Grafana Alloy | 集中式日志管道 | | **可视化** | Grafana | 仪表板 + SOC 视图 | | **OS / 环境** | Linux (Debian/Ubuntu), Docker, Bash | 运行环境 | ## 🎯 核心亮点 - ✅ **生产环境** —— 非实验室或沙盒环境 - ✅ **零停机时间** —— 贯穿所有阶段 - ✅ **双层 IPS** —— HIPS（主机）+ NIPS（网络） - ✅ **全量可观测性** —— 指标、日志、GeoIP 关联 - ✅ **MITRE ATT&CK** 验证的威胁猎杀 - ✅ **无敏感数据泄露** —— 故意省略了配置和 URL **联系我：** [Rami Y. on LinkedIn](https://www.linkedin.com/in/rami-y-4286302a9/)

标签：API集成, Beacon Object File, CISA项目, Cloudflare, CrowdSec, DevSecOps, IP 地址批量处理, Metaprompt, MITRE ATT&CK, Suricata, VictoriaMetrics, VPS加固, 上游代理, 主机入侵防御, 可观测性, 应用安全, 插件系统, 时间线生成, 案例研究, 现代安全运营, 生产环境, 系统强化, 纵深防御, 网络入侵防御, 自定义请求头, 请求拦截, 负责任AI, 零停机