阿里云ECS 怎么3 步拦截暴力破解与 DDoS 攻击？

技术实战指南

第一步：加固 SSH 登录防线

修改默认端口

# 编辑SSH配置文件sudo vi /etc/ssh/sshd_config# 修改Port 22为自定义端口（如 5921）

Port 5921# 重启服务

systemctl restart sshd

⚠️ 操作后需同步更新安全组规则，开放新端口

密钥替代密码登录

通过 ECS 控制台生成密钥对

禁用密码登录：PasswordAuthentication no

第二步：安全组攻防对抗演练

场景 1：拦截暴力破解
配置安全组规则：

规则方向：入方向

协议类型：TCP

端口范围：5921（自定义SSH端口）

授权对象：仅允许办公IP（最小权限原则）

✅ 解决痛点 “端口开放后仍无法访问”

场景 2：抵御 DDoS 攻击开启阿里云云盾基础防护（免费）：

控制台 → 云安全中心 → 防护配置 → 开启DDoS基础防护

第三步：等保 2.0 合规实践

启用操作审计

开通 ActionTrail 记录所有 API 调用

部署 WAF 防火墙

在 SLB 层配置 Web 应用防火墙（过滤 SQL 注入 / XSS 攻击）

设置安全告警

云监控自定义告警规则：CPU>90%+ 异常外联流量

总结：通过 “端口最小化暴露 + 实时威胁监控 + 合规加固” 三重防护，可降低 90% 攻击风险