VPS 开机必做清单
新买到一台 VPS,第一件事不是急着装环境,而是先把最容易被扫到的入口收紧。
默认的 22 端口、密码登录、root 直连,这三样放着不管,基本等于把门牌号挂在外面。
这篇就是一份简单直接的开机加固清单,适合新机刚上线时先做一轮基础保护。
先确认机器状态
先把 VPS 的关键信息记下来:
IP地址
SSH端口Port(默认为22)
用户名Username,一般默认是root
密码Password或者SSH Key
上线后先做一次可达性检查,确认机器真的活着:
- 打开 itdog.cn
- 输入 IP 做 ping 测试
- 根据结果判断机器状态:
- 全红,说明全球都超时,先检查商家后台和机器是否正常开机
- 海外绿、大陆红,通常是 IP 被墙,后续要考虑换 IP 或走跳板
- 全绿,说明网络正常,可以继续做加固
开始加固
1. 创建普通管理员账号
root 虽然方便,但长期直连风险太高。建议先创建一个普通管理员账号,以后日常操作尽量用它登录。
adduser myadmin
usermod -aG sudo myadmin
执行完后,退出当前 root 会话,改用新用户登录一次,确认 sudo 正常。
2. 修改 SSH 默认端口
默认 22 端口会被最频繁地扫描,改掉它不能解决所有问题,但能挡掉一大批无脑探测。
# 配置文件通常在这里
/etc/ssh/sshd_config
把下面这一行改成你自己的端口号,例如 5922:
Port 5922
修改完成后重启 SSH 服务:
systemctl restart ssh
systemctl status ssh
如果你的发行版服务名不是 ssh,也可能是 sshd,按实际环境调整。
3. 禁用密码登录,改用密钥登录
这是最关键的一步。端口只是降低噪音,密钥登录才是真正把暴力破解的收益打下去。
打开 /etc/ssh/sshd_config,确认下面几项:
PubkeyAuthentication yes
PasswordAuthentication no
PermitRootLogin prohibit-password
密钥建议使用 Ed25519,兼顾安全性和效率。
ssh-keygen -t ed25519 -C "your_email" #生成在默认位置
ssh-keygen -t ed25519 -f %USERPROFILE%\.ssh\id_ed25519_vps1 #生成在对应位置,对应文件
公钥是可以给服务器看的“锁”,私钥是你自己手里的“钥匙”。私钥不要外传,也不要随手发到群里。
把公钥放到目标用户的 ~/.ssh/authorized_keys 里:
mkdir -p ~/.ssh
chmod 700 ~/.ssh
nano ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
保存时按 Ctrl + O,回车确认;退出编辑器按 Ctrl + X。
4. 配置防火墙
防火墙一定要先放行新端口,再启用,不然可能把自己锁在门外。
ufw allow 5922 # 放行新的 SSH 端口
ufw allow 80 # 预留 Web 端口
ufw allow 443
ufw enable # 启用防火墙
5. 安装 Fail2Ban
如果机器会长期暴露在公网,建议再加一层 Fail2Ban,专门处理反复试错的登录请求。
收尾提醒
改完之后不要马上关掉当前 SSH 窗口。最好先开一个新的终端,用新端口和密钥连一次,确认能正常登录,再关闭旧会话。
另外,下面这几件事也值得顺手做掉:
- 更新系统软件包
- 检查默认服务是否需要关闭
- 给常用服务加日志和自动更新
- 定期检查 SSH 登录记录和防火墙状态
参考资料
- VPS 买回来第一天该干什么?我的开机必做清单
- 从零到一:我的 VPS 标准化开荒 SOP,五步打造稳定、安全、高性能的服务器
- 从零开始的 VPS 科普(1):认识你的第一台服务器
- 从零开始的 VPS 科普(2):远程连接你的服务器
- 【新手向】VPS DD 系统重装指南【全脚本化】
