本机入口面整体健康,远端主要风险集中在 US 节点公网暴露的 Docker 服务、HK/HKB SSH 加固不一致,以及多台 VPS 的 IP-Sentinel 失败服务。
clirelay-server 将 8317/1455/8085 暴露到公网,应优先确认并收口。| 项目 | 结果 | 判断 |
|---|---|---|
| 系统 | Ubuntu 24.04.4 LTS,Kernel 6.17.0-1011-oracle | 正常 |
| 资源 | 磁盘 116G 已用 45G,内存 23GiB 可用约 20GiB | 正常 |
| systemd | 核心服务 active;仅 hermes-gateway-inventory.service 为迁移残留 failed | 需清理 |
| 公网端口 | 22、80、443 | 符合预期 |
| 本地服务 | CLIProxyAPI、cards、sub、home-cms、report-center、yungen、upload、Komari、Sealcut 均绑定 127.0.0.1 | 正常 |
| SSH | 密钥登录;密码/键盘交互关闭;MaxAuthTries 3;X11Forwarding no | 加固合格 |
| nginx | nginx -t 通过;TLSv1.2/TLSv1.3;API rate limit 与 CORS 白名单生效 | 正常 |
| CDN 残留 | 活动 nginx 配置未发现 Cloudflare/CDN/real_ip/set_real_ip_from 运行项 | 无活动残留 |
| 访问验证 | /reports/、/reports/news/、/reports/health/、/yungen/、/panel/、/cards/、/sub/ 均 200 | 正常 |
| 对象 | 状态 | 说明 |
|---|---|---|
www.loveason.com | 2026-07-28 到期 | 有效 |
worker.loveason.com | 2026-08-01 到期 | 有效 |
nz.loveason.com | 2026-07-24 到期 | 有效 |
status.loveason.com | 2026-07-24 到期 | 有效 |
| 待更新包 | 11 个 | 主要为 Docker CE、Google Cloud SDK、libheif、open-vm-tools;建议维护窗口升级。 |
| 检查项 | 结果 | 判断 |
|---|---|---|
| active profile | Master、Worker、Network、News、Health、Stock | 正常 |
| HTML 报告规则 | 长回答与报告任务发布到 Report Center,Telegram 只发标题、摘要、链接 | 正常 |
| 统一样式 | /root/.hermes/REPORT_HTML_STYLE.md | 正常 |
| 变更收件箱 | 已读取并折叠到长期记忆和系统手册;收件箱已删除 | 已处理 |
| 旧称残留 | Artist 残留已从 Master SOUL 与 STARTUP_CONTEXT 修正 | 已修复 |
| systemd 残留 | hermes-gateway-inventory.service not-found failed | 建议 reset-failed |
| 节点 | 主要发现 | 风险 |
|---|---|---|
DE 47.254.140.158 | ip-sentinel-*、logrotate.service failed;公网 22/80/443/xray 17473;SSH 配置合格 | 中 |
HK 82.158.88.91 | MaxAuthTries 6、X11Forwarding yes;ip-sentinel-* failed;/root/telegram-bot/config/.env 为 644 | 中 |
HKA 38.76.188.244 | ip-sentinel-* failed;公网 80/22/443;保留 tk-cdn-import 证书导入目录 | 中 |
HKB 47.76.157.133 | MaxAuthTries 6、X11Forwarding yes;ip-sentinel-* 和 webhook-9527 failed;无 nginx | 中 |
HKY 185.155.235.171 | 无 failed unit;仅 SSH 与 xray 14726;SSH 配置合格 | 低 |
JP 64.118.144.182 | ip-sentinel-* failed;nginx warning:jpp.loveason.com server_name 冲突;磁盘 66% | 中 |
KR 131.186.27.212 | ip-sentinel-*、logrotate、man-db failed;SSH 合格 | 中 |
KRB 161.118.130.5 | ip-sentinel-* failed;SSH 合格;公网 22/80/443 | 中 |
TK 103.232.213.10 | ip-sentinel-*、logrotate failed;保留 cdn-migration-export 证书目录;公网 22/80/443/41756/xray 23007 | 中 |
US 186.244.244.52 | Docker clirelay-server 将 8317/1455/8085 绑定公网;UFW active 但允许 20/21/22/80/443;另有 888/2058 | 高 |
USB 161.153.95.69 | 无 failed unit;公网 22/80/443/23430/xray 13679;SSH 合格 | 低-中 |
| 优先级 | 整改项 | 目标 |
|---|---|---|
| P0 | US:确认 clirelay-server 的 8317/1455/8085 是否必须公网开放;如非必须改为 127.0.0.1 绑定 | 消除 API/管理面公网暴露 |
| P1 | HK/HKB:统一 SSH 为 MaxAuthTries 3、X11Forwarding no | 对齐本机安全基线 |
| P1 | 全 fleet:清理或修复 ip-sentinel-report/updater/runner failed 服务 | 减少失败服务噪音与运维漂移 |
| P1 | DE/KR/TK:修复 logrotate.service failed | 避免日志无限增长 |
| P2 | JP:清理 jpp.loveason.com 重复 server_name | 消除 nginx warning |
| P2 | 本机:执行 systemctl reset-failed hermes-gateway-inventory.service | 清理迁移残留状态 |
| P2 | 本机与远端:收紧 Hermes state.db、kanban.db 及旧迁移目录敏感快照权限 | 降低本地横向读取风险 |
| P2 | HKA/TK:处理 tk-cdn-import、cdn-migration-export 历史证书目录 | 减少历史 CDN 迁移残留 |
| 路径 | 用途 |
|---|---|
/root/backups/security-audit-20260512-085040/SECURITY_AUDIT_REPORT.html | 本 HTML 报告 |
/root/backups/security-audit-20260512-085040/SECURITY_AUDIT_REPORT.md | Markdown 报告 |
/root/backups/security-audit-20260512-085040/vps-*.txt | 远端原始巡检输出 |
/root/.hermes/vps_inventory/inventory.json | VPS inventory |
/root/.hermes/SOUL.md | Hermes Master 规则 |
/root/.hermes/STARTUP_CONTEXT.md | Hermes 启动摘要 |
/root/.hermes/REPORT_HTML_STYLE.md | Report Center 统一 HTML 样式 |
/etc/nginx/conf.d/www.loveason.com.conf | 主站 nginx |
/etc/nginx/snippets/report-center.locations.conf | Report Center 路由 |
/etc/nginx/snippets/cliproxy-managed-vps-allowlist.conf | 管理路径 IP 白名单 |