很多新手买完 VPS 就急着建站、搭程序,却忽略了最关键的安全加固。刚开通的 VPS 相当于 “裸奔” 在公网,默认端口、弱密码、开放权限,都是黑客重点攻击目标。本文用最通俗的语言,带你完成 VPS 购买后必做的基础安全配置,照着做就能挡住 90% 以上的恶意扫描与暴力破解。
一、先更新系统补丁,堵住已知漏洞
新系统自带的软件包往往存在旧版漏洞,第一时间更新是安全基础。
- Ubuntu/Debian 系统:
plaintext
apt update && apt upgrade -y
- CentOS/RHEL 系统:
plaintext
yum update -y
作用:修复系统底层漏洞,避免被自动化脚本直接入侵。
二、修改 SSH 默认端口,避开批量扫描
SSH 默认 22 端口是黑客扫描重灾区,改成10000-60000 之间的随机端口,能大幅降低被扫中的概率。
- 编辑 SSH 配置文件:
plaintext
vi /etc/ssh/sshd_config
- 找到
#Port 22,去掉 #,改为自定义端口(如 Port 20022) - 重启 SSH 服务:
plaintext
systemctl restart sshd
注意:修改后登录 SSH 必须填新端口,别把自己锁在外面!
三、禁用 Root 远程登录,创建普通管理用户
Root 是 Linux 最高权限账号,直接远程登录风险极大,被攻破就会完全失控。
- 创建普通用户(以 user1 为例):
plaintext
adduser user1
- 赋予用户 sudo 权限(临时管理员权限):
plaintext
usermod -aG sudo user1
- 禁用 Root 远程登录:编辑
/etc/ssh/sshd_config,将PermitRootLogin yes改为PermitRootLogin no - 重启 SSH 生效
安全原则:日常用普通用户登录,需要管理员权限时用 sudo。
四、设置强密码策略,拒绝弱口令爆破
弱密码是 VPS 被入侵的第一大原因,必须遵守以下规则:
- 长度≥12 位
- 包含大小写字母、数字、特殊符号
- 不使用生日、手机号、连续数字修改密码命令:
plaintext
passwd 用户名
进阶建议:开启密码复杂度策略,禁止简单密码设置。
五、开启防火墙,只放行必要端口
防火墙是 VPS 的 “大门”,默认关闭所有端口,只开放业务需要的,拒绝一切非法访问。
Ubuntu/Debian(UFW 防火墙)
plaintext
# 安装并启用
apt install ufw -y
ufw enable
# 放行自定义SSH端口、网站80/443端口
ufw allow 20022/tcp
ufw allow 80/tcp
ufw allow 443/tcp
# 查看规则
ufw status
CentOS(Firewalld 防火墙)
plaintext
systemctl start firewalld
systemctl enable firewalld
firewall-cmd --permanent --add-port=20022/tcp
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --reload
核心:不用的端口一律关闭,遵循 “最小权限” 原则。
六、安装 Fail2ban,自动封禁恶意 IP
针对 SSH 暴力破解、端口扫描,Fail2ban 能自动检测并拉黑恶意 IP,是新手必备防护工具。
plaintext
# Ubuntu/Debian
apt install fail2ban -y
# CentOS
yum install fail2ban -y
# 启动并开机自启
systemctl start fail2ban
systemctl enable fail2ban
默认配置即可生效,多次登录失败会自动封禁 IP,大幅提升安全性。
七、关闭不必要服务,减少攻击面
系统默认会启动一些无用服务,占用资源且增加风险,新手直接关闭即可。
plaintext
# 查看开机自启服务
systemctl list-unit-files --type=service
# 关闭无用服务(示例)
systemctl stop 服务名
systemctl disable 服务名
重点关闭:Telnet、FTP(明文传输)、无需的数据库服务等。
八、开启自动安全更新,省心防漏洞
手动更新容易遗漏,开启自动更新,系统会自动安装安全补丁。
- Ubuntu/Debian:
plaintext
apt install unattended-upgrades -y
dpkg-reconfigure --priority=low unattended-upgrades
- CentOS:
plaintext
yum install yum-cron -y
systemctl start yum-cron
systemctl enable yum-cron
新手 VPS 安全配置总结
买完 VPS先做安全,再搭业务,这是永远不变的准则。以上 8 步是最基础、最有效的安全配置,无需专业知识,复制命令就能完成,能有效抵御绝大多数自动化攻击。
做好基础安全后,再定期备份数据、检查登录日志,你的 VPS 就能稳定又安全地运行。
