VPS Xray 配置安全巡检

更新时间：2026-06-16 18:29:18 ｜巡检方式：SSH 只读采集 + 本地 TCP 探测 + Xray 配置摘要解析

巡检 14 台 VPS，SSH 成功 13 台；预期 Xray 节点 9 个，公网 TCP 可达 8 个；优秀 3 个，需处理 2 个，可用待优化 9 个。

14巡检 VPS

9预期 Xray 节点

8公网 TCP 可达

3优秀

9可用待优化

2需处理

结论摘要

整体可用：核心订阅 endpoint 大多 TCP 可达；UK/AU/SGA 为最干净的 Reality 443 形态。
主要风险：JPA 审计时找不到 xray 命令但服务和配置摘要存在，US SSH 不可达无法审计，部分节点存在 IPv6 443 监听或 BBR 未启用。
配置合理性：多数节点已使用 VLESS + Reality + Vision，且未在报告中输出 UUID、privateKey、shortId 或完整订阅 URL。

优先处理清单

#	节点	等级	问题	入站摘要
1	JPA	需处理	未找到 xray 命令 Xray 配置测试未全部 OK Reality inbound 非 443 端口(45987)	dokodemo-door:443 None/None listen=172.26.3.247 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision
2	US	不可达	SSH 巡检失败	-
3	JPC	可用待优化	Reality inbound 非 443 端口(45987) inventory 未标记但主机有 active Xray，需同步/确认	dokodemo-door:27262 None/None listen=64.118.144.182 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision; vless:10443 tcp/tls listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision
4	KRB	可用待优化	Reality inbound 非 443 端口(45987) inventory 未标记但主机有 active Xray，需同步/确认	dokodemo-door:16492 None/None listen=10.0.0.114 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision; vless:10443 tcp/tls listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision
5	DE	可用待优化	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 Reality inbound 非 443 端口(45987) inventory 未标记但主机有 active Xray，需同步/确认	dokodemo-door:17473 None/None listen=172.20.23.197 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision
6	AR	可用待优化	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 Reality inbound 非 443 端口(2443)	vless:2443 tcp/reality listen=127.0.0.1 dest=www.microsoft.com:443 clients=1 flows=xtls-rprx-vision
7	HKA	可用待优化	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧	vless:443 tcp/reality listen=0.0.0.0 dest=127.0.0.1:8443 clients=1 flows=xtls-rprx-vision
8	HKY	可用待优化	Reality inbound 非 443 端口(45987) inventory 未标记但主机有 active Xray，需同步/确认	dokodemo-door:443 None/None listen=185.155.235.171 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision
9	JPB	可用待优化	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 Reality inbound 非 443 端口(45987)	vless:443 tcp/reality listen=0.0.0.0 dest=www.samsung.com:443 clients=1 flows=xtls-rprx-vision; dokodemo-door:443 None/None listen=* dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision
10	HKC	可用待优化	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 BBR 未启用(cubic)	vless:443 tcp/reality listen=0.0.0.0 dest=www.hsbc.com.hk:443 clients=1 flows=xtls-rprx-vision
11	KRA	可用待优化	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 BBR 未启用(cubic)	vless:443 tcp/reality listen=0.0.0.0 dest=academy.nvidia.com:443 clients=1 flows=xtls-rprx-vision

节点矩阵

节点	Endpoint	Xray/配置	评级	网络优化	Inbound 摘要（脱敏）	发现
JPC 64.118.144.182	- TCP: 未测	active / enabled Config: 未验证/失败	可用待优化	bbr / fq IPv6: 无443	dokodemo-door:27262 None/None listen=64.118.144.182 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision; vless:10443 tcp/tls listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision	Reality inbound 非 443 端口(45987) inventory 未标记但主机有 active Xray，需同步/确认
JPA 13.112.210.201	13.112.210.201:443 TCP: 通	active / enabled Config: 未验证/失败	需处理	bbr / fq IPv6: 无443	dokodemo-door:443 None/None listen=172.26.3.247 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision	未找到 xray 命令 Xray 配置测试未全部 OK Reality inbound 非 443 端口(45987)
KRB 131.186.27.212	- TCP: 未测	active / enabled Config: 未验证/失败	可用待优化	bbr / fq IPv6: 无443	dokodemo-door:16492 None/None listen=10.0.0.114 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision; vless:10443 tcp/tls listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision	Reality inbound 非 443 端口(45987) inventory 未标记但主机有 active Xray，需同步/确认
DE 47.254.140.158	- TCP: 未测	active / enabled Config: 未验证/失败	可用待优化	bbr / fq IPv6: 443监听	dokodemo-door:17473 None/None listen=172.20.23.197 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 Reality inbound 非 443 端口(45987) inventory 未标记但主机有 active Xray，需同步/确认
AR 129.146.59.53	www.loveason.com:443 TCP: 通	active / enabled Config: OK	可用待优化	bbr / fq IPv6: 443监听	vless:2443 tcp/reality listen=127.0.0.1 dest=www.microsoft.com:443 clients=1 flows=xtls-rprx-vision	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 Reality inbound 非 443 端口(2443)
US 186.241.84.19	usa.88665577.xyz:443 TCP: 通	- / - Config: 未验证/失败	不可达	- / - IPv6: 无443	-	SSH 巡检失败
HKA 38.76.188.244	- TCP: 未测	inactive / not-found Config: 未验证/失败	可用待优化	bbr / fq IPv6: 443监听	vless:443 tcp/reality listen=0.0.0.0 dest=127.0.0.1:8443 clients=1 flows=xtls-rprx-vision	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧
HKY 185.155.235.171	- TCP: 未测	active / enabled Config: 未验证/失败	可用待优化	bbr / fq IPv6: 无443	dokodemo-door:443 None/None listen=185.155.235.171 dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision	Reality inbound 非 443 端口(45987) inventory 未标记但主机有 active Xray，需同步/确认
SGA 52.220.159.135	- TCP: 未测	active / enabled Config: OK	优秀	bbr / fq IPv6: 无443	vless:443 tcp/reality listen=172.26.7.89 dest=www.samsung.com:443 clients=2 flows=xtls-rprx-vision	服务 active、配置 OK、Reality/443 姿态正常
UK 167.71.140.103	167.71.140.103:443 TCP: 通	active / enabled Config: OK	优秀	bbr / fq IPv6: 无443	vless:443 tcp/reality listen=167.71.140.103 dest=www.samsung.com:443 clients=1 flows=xtls-rprx-vision	服务 active、配置 OK、Reality/443 姿态正常
AU 134.199.173.24	134.199.173.24:443 TCP: 通	active / enabled Config: OK	优秀	bbr / fq IPv6: 无443	vless:443 tcp/reality listen=134.199.173.24 dest=www.apple.com:443 clients=1 flows=xtls-rprx-vision	服务 active、配置 OK、Reality/443 姿态正常
JPB 13.112.231.185	13.112.231.185:443 TCP: 通	active / enabled Config: OK	可用待优化	bbr / fq IPv6: 443监听	vless:443 tcp/reality listen=0.0.0.0 dest=www.samsung.com:443 clients=1 flows=xtls-rprx-vision; dokodemo-door:443 None/None listen=* dest=- clients=0 flows=-; vless:45987 tcp/reality listen=127.0.0.1 dest=- clients=1 flows=xtls-rprx-vision	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 Reality inbound 非 443 端口(45987)
HKC 43.198.253.212	43.198.253.212:443 TCP: 通	active / enabled Config: OK	可用待优化	cubic / fq_codel IPv6: 443监听	vless:443 tcp/reality listen=0.0.0.0 dest=www.hsbc.com.hk:443 clients=1 flows=xtls-rprx-vision	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 BBR 未启用(cubic)
KRA 161.118.141.160	161.118.141.160:443 TCP: 通	active / enabled Config: OK	可用待优化	cubic / fq_codel IPv6: 443监听	vless:443 tcp/reality listen=0.0.0.0 dest=academy.nvidia.com:443 clients=1 flows=xtls-rprx-vision	443 存在 IPv6 监听，若非刻意 IPv6 节点建议收紧 BBR 未启用(cubic)

建议动作

先处理高风险：核查 JPA 的 xray 二进制路径/ExecStart；恢复 US SSH 审计能力。
再做暴露面收紧：对 HKC/KRA/HKA/AR/JPB/DE 等确认是否需要 IPv6；不需要则把 public inbound 绑定到具体 IPv4，并验证 ss -6 sport :443 为空。
统一性能基线：KRA/HKC 当前为 cubic，建议改为 bbr；qdisc 已为 fq_codel 可接受。
清理 inventory 漂移：JPC/KRB/HKY/DE 仍有 active Xray 但 inventory 未标记为预期节点，建议确认是历史残留、订阅节点还是内部转发组件。
非 443 Reality：部分 v2ray-agent/中转形态使用 loopback 45987/2443，由公网 443 dokodemo-door/Nginx stream 转发；这不是立即故障，但建议在 inventory 中标明架构，避免被误判。

安全说明：本报告仅含脱敏摘要；未输出 UUID、privateKey、publicKey、shortId、订阅完整 URL、Telegram token 或 API key。