Xray_bash_onekey 越来越复杂了:Reality、ws、gRPC、xHTTP、Nginx、Fail2ban、流量阻断、GeoData 自动更新……菜单越来越长,但安全问题不会因为菜单好看就自己消失喔。
有些坑不是脚本的 bug,是你装的时候没仔细看,服务器环境乱成一锅粥啦,或者把后端端口直接晒给全世界。这篇把几个最容易翻车的地方重新捋一遍——丑话说在前头我才能安心嘛。
SSH 入口#
脚本需要 SSH 到服务器。很多 VPS 默认开 22 端口,密码一弱就是「欢迎来试」的状态。
几个最基本的:
- 密码搞强点,最好改成密钥登录。
- 不用 root 密码登录就关掉。
- 装 Fail2ban:
idleleo --set-fail2ban。 - 云厂商安全组里只开必要端口,别的全关上。
Fail2ban 不是无敌的,但它能挡掉一大批低成本爆破。日志安静了,人也舒服了——至少不用半夜被报警吵醒嘛。
Reality Target 不要乱填#
Reality 的 Target 域名非常关键。特别是别随手填一个套了 Cloudflare 或别的 CDN 的域名,不然鉴权失败的流量直接被转发到目标站,你的服务器就成了免费加速节点——谁路过都能用,账单你来付。
这个问题详细说过了:Xray Reality 协议的风险。
如果你就是要利用这个特性做自己的加速链路,也不是不行啦,但一定搭配 Nginx serverNames 分流。裸着让 Reality 乱跑?别,真的别。
Nginx 和 CDN#
TLS 模式下,Nginx 是前置入口,适合 ws/gRPC/xHTTP 这类传输,也更适合配合 CDN。用 Cloudflare 的注意:先让脚本装好证书和配置,再开代理小云朵。
gRPC 还要去 CF 的网络设置里打开 gRPC 支持。不然就是「我配好了为什么不通」→「哦你没开选项啊」的经典循环。
另外说一句得罪人的话:CDN 不是加速万能药。它能藏源站,也可能拖慢速度。你是要「别人看不到我」还是要「跑得飞起」,心里先想清楚喔。
后端端口别裸奔#
ws/gRPC/xHTTP ONLY 模式没有 TLS,天生就是当后端用的。直接暴露给公网当主节点?想什么呢。
如果搭了后端负载均衡:
- 后端端口只允许主服务器访问。
- 能用内网 IP 就内网。
- 前后端 UUID、path、serviceName 统一。
- 权重别乱调——小机器就别扛大流量了嘛。
后端没有完整防护的时候,暴露出去就是在邀请别人来串门。而且是那种不打招呼还狂吃你家零食的串门。
证书与邮箱#
TLS 模式要证书。脚本支持自动 Let’s Encrypt 签发,也支持你自己放证书到 /etc/idleleo/cert(文件名 xray.crt 和 xray.key)。
证书不是「申请一次管一辈子」的东西。域名解析、80/443 端口、CDN 代理状态、续签任务——哪个环节出问题证书都可能挂。看到证书报错,先检查域名还在不在、CF 是不是提前开了代理。
流量阻断#
脚本里现在有 Xray 流量阻断:
idleleo --traffic-blocker可以按国家/地区拦 IP 和域名,也能拦 BT、广告、私有网络访问。详细说看:Xray进阶玩法 - 封锁指定国家/地区的 IP 和域名。
这类规则最适合处理「不希望它走代理」的流量。它不是防火墙平替,但作为代理出口的一道闸,很实用。
最后#
脚本能帮你把复杂流程理清楚,让你少踩一半坑。但服务器终究是你的——域名、端口、证书、客户端支持、日志异常,自己心里要有数。
懒可以。完全不看提示一路回车……不太行。一键脚本已经对这个世界很努力了,但这个世界对一键脚本用户又没那么温柔。还是多看两眼吧,乖~
