宝塔

一. 软件

Nginx防火墙： 防止小型ddos和常见恶意攻击
宝塔系统加固： 阻止恶意程序运行
系统防火墙： 管理端口

二. 设置默认站点防止域名恶意解析

修改默认站点

在宝塔面板中添加一个不用的站点，域名随便写，而且不要解析到服务器IP，因为我们添加的这个站点没有任何实质性内容。用自己域名或任何域名都没关系（百度、谷歌域名都随便用）
点击网站域名，在弹出的对话框中点击配置文件，在 server_name 下面，添加一行代码，代码内容如下：
1

return 500;

找一份现成的 SSL证书密钥key 和证书(PEM格式)，要真实有效的那种，放到上面你添加的站点中。具体位置在宝塔面板 > 域名管理 > SSL > 其他证书中分别添加，然后保存。勾选“强制HTTPS”。找一份现成的 SSL证书密钥key 和证书(PEM格式)，放到上面你添加的站点中。我是使用的证书和密钥是：

密钥(KEY):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

证书(PEM格式):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

四. 使用密钥登陆

[post cid=“439” /]

五. 端口设置

删除非必要端口
删除80端口，全部强制HTTPS，443端口只限定CDN的IP节点回源请求

[post cid=“491” /]

其他必要端口
- 安全 - 系统防火墙 - 地区规则 - 添加地区规则
  - 地区：封海外（A），封海外（B）
  - 策略：屏蔽
  - 端口：指定端口
  - 指定端口：其他非必要端口

六. 开启系统加固所有选项

需要在异常进程监控里面填入docker项目的名字，如果被杀就填入再重启

七. 阻止海外恶意访问

WAF - 全局设置 - 防CC攻击 - CC防御 - 设置规则
- 模式：标准模式
- 请求类型：ip
- 地区人机验证：中国大陆以外的地区（包括港澳台）

Cloudflare

一. 开启自动程序攻击模式

站点 - 安全性 - 自动程序

二. 提升安全级别

站点 - 安全性 - 设置 - 安全级别 -高

三. 阻止海外恶意访问

站点 - 安全性 - WAF - 自定义规则 - 创造规则
- 名字：随便
- 字段：国家/地区
- 运算符：不等于
- 值：China
- 表达式预览（自动生成）：(ip.geoip.country ne “CN”)
- 选择操作：JS 质询

四. 完全加密

站点 - SSL/TLS - 概述 - 完全（严格）