上一贴:https://www.nodeseek.com/post-783295-1
项目地址:https://github.com/cryptoli/vps-sentinel
演示地址:https://vps-sentinel-panel.cryptoli-vps-sentinel.workers.dev
VPS Sentinel v0.3.0 发布:轻量级 VPS 安全监控,现在支持多节点面板
最近 VPS、探针、面板类项目越来越多,很多用户会在多台服务器上部署业务、代理、网站或服务监控。但一旦服务器出现异常,例如 SSH 爆破、Web 扫描、异常进程、可疑监听端口、基线漂移、文件被修改,传统方式往往只能靠手动查日志,发现问题比较晚。
VPS Sentinel 是一个使用 Rust 编写的开源 VPS 安全监控工具,定位是防御型主机监控:尽早发现异常、整理证据、发送告警、给出处置建议。
项目定位
VPS Sentinel 主要用于:
- 监控 SSH 登录、爆破、异常登录行为
- 监控 Web 扫描、探测、攻击请求
- 监控异常进程、可疑命令、挖矿相关行为
- 监控公网监听端口、服务变化、可疑网络行为
- 监控关键文件、启动项、用户、持久化配置变化
- 支持 Telegram、邮件、Webhook、ntfy、Gotify、Bark、ServerChan 等通知
- 支持主动封禁明显恶意来源
- 支持多服务器集中展示
它不是:
- 杀毒软件
- 漏洞利用框架
- 密码爆破工具
- 第三方主机扫描器
- C2、后门或隐蔽工具
- 主机绝对安全保证
v0.3.0 主要更新
1. 新增多节点安全面板
v0.3.0 增加了面板能力,可以把多台服务器的安全状态集中展示出来。
面板支持两种部署方式:
- 自建 Rust 面板
- Cloudflare Worker + D1 面板
适合同时管理多台 VPS 的用户,例如多台代理节点、Web 服务器、数据库服务器、个人项目服务器等。
2. 新增节点探针视图
面板现在不仅展示安全事件,也能展示节点状态,类似轻量探针:
- 节点在线状态
- CPU 使用率
- 内存使用率
- 负载
- 上行/下行速率
- 入站/出站流量
- 运行时间
- Agent 内存占用
- 节点所在国家/地区
- 最近上报时间
这样可以在一个页面里同时看到服务器运行状态和安全状态。
3. 新增安全总览 Dashboard
面板增加了更完整的总览页面:
- 风险趋势
- 风险等级分布
- 节点状态分布
- 响应活动
- 节点新鲜度
- 告警、事件、封禁、基线等统计
相比单纯发 Telegram 消息,多节点场景下会更直观。
4. 新增告警、事件、基线、封禁、黑名单页面
面板新增多个独立页面:
- 告警页面:查看风险告警
- 事件页面:查看安全事件和详情
- 基线页面:查看文件、服务、启动项等基线变化
- 封禁页面:查看主动响应结果
- 黑名单页面:查看被封禁来源及归因信息
- 节点页面:查看每台服务器运行状态
适合长期运行后做回溯分析。
5. 新增复核与误报处理能力
v0.3.0 增加了复核流程。
对于部分事件,可以在面板中进行确认、标记误报或关闭处理。这样后续可以逐步降低重复误报,让规则更贴近自己的服务器环境。
6. 增强检测能力
本版本继续增强了多类检测能力:
- SSH 爆破和异常登录识别
- Web 探测、扫描、攻击请求识别
- 可疑进程和异常网络行为识别
- GPU 异常计算进程识别
- 文件完整性和关键配置变化识别
- systemd、计划任务、持久化项变化识别
- 基线漂移评分和复核建议
- 攻击指纹聚合,减少重复告警
- 本地行为画像,辅助判断异常变化
7. 优化主动封禁
主动响应逻辑继续增强:
- 支持临时封禁
- 支持永久封禁
- 支持 SSH 爆破封禁
- 支持 Web 攻击来源封禁
- 支持重复触发后升级封禁
- 支持查看和解除封禁
- 支持封禁原因记录
封禁策略默认尽量保守,只对证据比较明确的行为进行处理,避免影响正常业务。
8. 降低误报
v0.3.0 对误报做了较多优化:
- 软件更新期间减少基线漂移噪声
- 正常服务端口变化降低告警等级
- 动态 UDP 服务减少重复告警
- 正常转发工具减少误判
- 包管理器、systemd、服务画像等上下文会参与判断
- 重复事件会合并或去重
目标是让告警更有价值,而不是疯狂刷屏。
9. 优化部署和升级体验
本版本继续完善部署脚本:
- 支持一键安装 Agent
- 支持一键升级
- 支持 release 二进制安装
- release 不可用时可回退源码编译
- 支持配置迁移
- 支持配置校验
- 支持日志和数据库清理
- 支持构建缓存清理,避免磁盘被源码编译缓存占满
一键安装 Agent
如果只想先安装 Agent,可以使用:
sudo VPS_NAME="your-node-name" \
TELEGRAM_BOT_TOKEN="<telegram-bot-token>" \
TELEGRAM_CHAT_ID="<telegram-chat-id>" \
TELEGRAM_MIN_SEVERITY="Medium" \
sh -c 'curl -fsSL https://raw.githubusercontent.com/cryptoli/vps-sentinel/main/install.sh | sh'
如果需要接入面板,需要先部署面板,然后填写面板地址和密钥:
sudo VPS_NAME="your-node-name" \
TELEGRAM_BOT_TOKEN="<telegram-bot-token>" \
TELEGRAM_CHAT_ID="<telegram-chat-id>" \
TELEGRAM_MIN_SEVERITY="Medium" \
PANEL_URL="https://your-panel.example.com/api/v1/ingest" \
PANEL_SHARED_SECRET="<panel-shared-secret>" \
PANEL_NODE_NAME="your-node-name" \
ACTIVE_RESPONSE_ENABLED="yes" \
ACTIVE_RESPONSE_PERMANENT_BLOCK_ENABLED="yes" \
sh -c 'curl -fsSL https://raw.githubusercontent.com/cryptoli/vps-sentinel/main/install.sh | sh'
一键升级
sudo INSTALL_METHOD=release RELEASE_VERSION=v0.3.0 \
sh -c 'curl -fsSL https://raw.githubusercontent.com/cryptoli/vps-sentinel/main/update.sh | sh'
常用命令
vs status
查看当前运行状态。
vs scan
手动扫描。
vs scan --no-notify
手动扫描但不发送通知,适合测试规则。
vs findings list
查看最近发现的问题。
vs blocks list
查看当前封禁列表。
vs blocks unblock <ip>
解除封禁。
vs report send
发送报告。
vs reload
重新加载配置。
vs doctor
检查运行环境和配置状态。
面板部署
v0.3.0 支持两种面板部署方式:
- 自建 Rust 面板:适合想完全自己控制数据和环境的用户
- Cloudflare Worker 面板:适合轻量部署,不想额外维护服务器的用户
详细教程见项目文档:
- 英文部署文档:
docs/deployment.md - 中文部署文档:
docs/deployment.zh-CN.md - 英文面板部署文档:
docs/panel-deployment.md - 中文面板部署文档:
docs/panel-deployment.zh-CN.md
适合谁使用
VPS Sentinel 比较适合:
- 有多台 VPS 的个人用户
- 运行代理、网站、数据库、面板服务的用户
- 想要 Telegram 安全告警的用户
- 想集中查看多节点安全状态的用户
- 希望发现 SSH 爆破、Web 扫描、异常进程、基线变化的用户
如果你只是想要一个轻量级、开源、Rust 编写、可以长期运行在 VPS 上的安全监控工具,可以试试这个项目。
好东西,支持
好东西,支持
好东西,支持
好项目
好东西,BD
小鸡天天被攻击
给小鸡马上用上