代理服务器安全审计报告 | AI生成和翻译

Home 2026.05 English 中文

---

============================================================ 安全审计报告：DMIT 代理服务器 日期：2026-05-24 ============================================================

服务器： 主机： DMIT 洛杉矶（Host-By.DMIT.com） IP： [已编辑] 域名： [已编辑] 操作系统： Ubuntu（运行时间 44 天） 磁盘： 20G（已用 46%）

============================================================ 暴露端口 ============================================================

TCP： 22 SSH OpenSSH 9.6p1 Ubuntu 80 HTTP （仅 ACME 挑战）

UDP： 443 QUIC Hysteria2 代理 5353 mDNS openclaw-gateway（见下方）

防火墙：UFW 已启用，默认拒绝入站 ✓ 其他所有端口：已过滤（静默丢弃）

============================================================ SSH 配置 ============================================================

良好： ✓ 仅公钥认证 ✓ Root 登录：without-password（仅密钥） ✓ 密码认证：已禁用 ✓ MaxStartups：10:30:100 ✓ 主机密钥：ECDSA + ED25519 ✓ 现代 KEX：sntrup761x25519（后量子）、curve25519 ✓ 强加密算法：chacha20-poly1305、aes256-gcm ✓ 首选 ETM MAC ✓ Terrapin 缓解措施（kex-strict-s-v00）

关注点： ⚠ LoginGraceTime 120 秒（建议 30 秒） ⚠ root 有 3 个授权密钥 — 审计谁有访问权限 ⚠ OpenSSH 9.6p1 处于 regreSSHion 影响范围（CVE-2024-6387） — 验证 Ubuntu 已修补：dpkg -l openssh-server — 在 64 位系统上实际利用不可行

============================================================ Hysteria2 代理 ============================================================

已修复（本次会话）： ✓ v2.7.1 → v2.9.2（最新版，2026-05-23 构建） ✓ 以 hysteria 用户运行（原为 root） ✓ 由 systemd 管理，开机自启 ✓ 安全沙箱已启用（CapabilityBoundingSet、NoNewPrivileges） ✓ 配置文件权限 640 root:hysteria（原为 644）

当前状态： 版本： v2.9.2 监听： UDP :443 认证： 密码 [已编辑] TLS 证书： Let’s Encrypt（[已编辑]） 伪装： 代理 → [已编辑] Systemd： 已启用且活跃 ✓ 自动重启： 是 ✓

剩余问题： ⚠ ACME 邮箱为占位符 — 改为真实邮箱 ⚠ 备份二进制文件 hysteria.bak.v2.7.1 — 确认稳定后可安全删除

============================================================ 其他服务 ============================================================

openclaw-gateway： PID： 726 用户： root 监听： UDP 0.0.0.0:5353（mDNS） 状态： 运行中，在所有接口暴露

⚠ 以 root 运行
⚠ mDNS 公开暴露（若仅本地使用应仅限 localhost）
→ 调查此服务是否必须在此服务器上

qemu-guest-agent： 运行中（DMIT VM 代理，正常） watchdog： 运行中（系统看门狗，正常）

============================================================ 漏洞总结 ============================================================

本次会话已修复： [✓] Hysteria2 以 root 在 tmux 中运行 → 现在通过 systemd 以 hysteria 用户运行 [✓] 过时二进制文件（v2.7.1） → 升级至 v2.9.2 [✓] 配置文件全局可读（644） → 限制为 640 root:hysteria

未关闭： [!] openclaw-gateway 以 root 运行，mDNS 公开暴露 [~] ACME 邮箱占位符 [~] 未安装 fail2ban [~] 无自动安全更新（unattended-upgrades） [~] 过时 UFW 规则（端口 13000-14000） [~] SSH LoginGraceTime 120 秒

============================================================ 建议下一步操作 ============================================================

1. 调查 openclaw-gateway — 它是什么，是否需要在此运行，能否以非 root 运行？

2. 安装 fail2ban： apt install fail2ban && systemctl enable –now fail2ban

3. 更新 /etc/hysteria/config.yaml 中的 ACME 邮箱

4. 移除过时 UFW 规则： ufw delete allow 13000:14000/tcp ufw delete allow 13000:14000/udp

5. 启用自动更新： apt install unattended-upgrades

6. 将 SSH LoginGraceTime 减少至 30 秒

============================================================ 评分 ============================================================

修复前： 4/10 修复后： 7/10

关键问题（root 进程、无 systemd、过时二进制文件）已解决。剩余项目为加固措施。服务器就其用途而言运行稳健。

============================================================

---

Back Donate