环境准备:
1.vps基本安全设置(可选):
1.更换root密码:
UNDEFINEDCopysudo passwd root
2.修改SSH默认端口(可选):
打开配置文件
BASHCopysudo nano /etc/ssh/sshd_config
找到:#Port 22
去掉#号,并改为对应端口
例如:
UNDEFINEDCopyPort 2222
安装UFW防火墙并启用(注意一定要放行ssh端口再启用!):
自行查询对应系统如何安装ufw防火墙,这里不再说明。
防火墙放行(重点!),否则你无法链接ssh。
BASHCopysudo ufw allow 2222/tcp
重启SSH服务:
UNDEFINEDCopysudo systemctl restart ssh
2.确认BBR是否开启:
如没有开启,询问AI 对应系统版本如何开启BBR,并如何检查是否开启。
Debian检查是否开启命令:
UNDEFINEDCopysysctl net.ipv4.tcp_congestion_control net.core.default_qdisc
输入以下,则已经开启
UNDEFINEDCopynet.ipv4.tcp_congestion_control = bbrnet.core.default_qdisc = fq
3.如需要域名,域名做解析:
注意:关闭小云朵
4.用一键证书脚本申请好证书,记录下证书路径:
证书一键申请脚本:
BASHCopybash <(curl -sL https://raw.githubusercontent.com/qichiyuhub/auto-ssl-cert/refs/heads/main/setup.sh)
比如:
TYPESCRIPTCopy证书文件: /etc/ssl/yu.ykszckj.com/yu.ykszckj.com.crt私钥文件: /etc/ssl/yu.ykszckj.com/yu.ykszckj.com.key
5.安装singbox:
一键安装:
PYTHONCopybash <(curl -sL "https://raw.githubusercontent.com/qichiyuhub/autoshell/refs/heads/main/install_singbox.sh")
6.编辑配置文件
服务端和客户端对照编辑
演示配置文件下载:
https://github.com/qichiyuhub/rule/tree/main/config/zijian
编辑完上传到 /etc/sing-box 目录覆盖原始配置
singbox服务端配置示例解释:
JSONCopy"inbounds": [ { "tag":"SS", "type": "shadowsocks", "listen": "::", "listen_port": 80, "method": "2022-blake3-aes-128-gcm", // aes-128-gcm 密钥无限制 "password": "hztQCU1ZB8CAuPMVFJiCJw==", // 密钥长度16,sing-box执行 sing-box generate rand --base64 16 生成 "multiplex": { "enabled": true } }, { "tag":"VLESS-Vision-Reality", "type":"vless", "listen":"::", "listen_port":443, "users":[ { "uuid":"625a08bb-d372-4f7c-a2d4-6a50ca3393ce", // sing-box执行 sing-box generate uuid 生成 "flow":"xtls-rprx-vision" } ], "tls":{ "enabled":true, "server_name":"moe.syaronet.com", "reality":{ "enabled":true, "handshake":{ "server":"moe.syaronet.com", // 要求网站支持 TLS 1.3、X25519 与 H2,域名非跳转用 "server_port":443 }, "private_key":"mAQVEs96AtDg1V_b2POFVP8n-Uu6hBe0_1Zt-DtRzGE", // 执行 sing-box generate reality-keypair 生成,对应公钥放客户端 "short_id":[ "a118b9425a7e2dc5" // 执行 sing-box generate rand 8 --hex 生成 ] } }, "multiplex":{ "enabled":true, "padding":true, "brutal":{ "enabled":true, "up_mbps":800, "down_mbps":100 } } }, { "tag": "HYSTERIA2", "type": "hysteria2", "listen": "::", "listen_port": 52021, "obfs": { "type": "salamander", "password": "71c42203-ee95-44f9-97f2-3fefe254f223" // sing-box执行 sing-box generate uuid 生成作为密码即可 }, "users": [ { "password": "c36d52aa-12b0-420c-a409-02f0410f6ac4" // sing-box执行 sing-box generate uuid 生成作为密码即可 } ], "tls": { "enabled": true, "alpn": [ "h3" ], "certificate_path": "/etc/ssl/yu.ykszckj.com/yu.ykszckj.com.crt", "key_path": "/etc/ssl/yu.ykszckj.com/yu.ykszckj.com.key" } }],7.启动sing-box,服务端配置完成。
启动服务:
BASHCopysudo systemctl enable sing-box
启动singbox:
SQLCopysudo systemctl start sing-box
重启singbox:
UNDEFINEDCopysudo systemctl restart sing-box
停止singbox:
UNDEFINEDCopysudo systemctl stop sing-box
查看实时日志:
BASHCopysudo journalctl -u sing-box --output cat -f
8.客户端配置使用substore转为多种客户端订阅使用即可。
伪装域名选择:
要求:
目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用(主域名可能被用于跳转到 www)
加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling
配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)
没有屏蔽的大厂域名也可以,比如 www.apple.com, www.microsoft.com , www.cloudflare.com , www.samsung.com
OCSP Stapling支持检查:
http://web.chacuo.net/netocspstapling
进入这个域名选择网站
https://bgp.tools/
然后输入vps ip 然后按照下图选择 会显示出和vps同网段的域名
选择几个域名打开然后确认以下事项
