VPS购买后Linux系统初始化：用户权限与SSH安全加固

购买VPS后，Linux系统的初始化是确保服务器安全稳定的首要任务。实际运维中，因用户权限设置不当、SSH服务配置漏洞导致的入侵事件屡见不鲜。本文结合真实场景，详细讲解用户权限优化与SSH安全加固的具体操作，帮你从源头降低服务器风险。

用户权限设置：避免"总钥匙"暴露风险

不少用户购买VPS后，为图方便直接用root账户完成所有操作。但root拥有系统最高权限，相当于服务器的"总钥匙"——一旦密码泄露或设备丢失，整个系统将面临数据篡改、文件删除等严重威胁。曾有案例显示，某用户长期使用root远程登录，黑客通过暴力破解工具仅用3小时就获取了权限，导致网站数据全部丢失。

第一步是创建普通用户。以Ubuntu系统为例，执行命令创建名为"admin"的用户（可根据需求替换名称）：
adduser admin
按提示设置密码（建议包含字母、数字、符号的12位以上组合），并填写用户信息（非必填项直接回车跳过）。

第二步是赋予临时权限。将新用户加入sudo组，使其能通过sudo命令临时调用root权限：
usermod -aG sudo admin
此后日常操作使用admin账户，仅在需要高权限时输入"sudo + 命令"（需输入当前用户密码验证），既满足操作需求又避免root长期在线。

第三步是禁用root直接登录。编辑SSH配置文件：
vim /etc/ssh/sshd_config
找到"PermitRootLogin"行（通常在文件中部），将值改为"no"（原配置可能为"prohibit-password"或"yes"）。保存退出后重启SSH服务生效：
systemctl restart sshd
这一步相当于给"总钥匙"上了双保险——即使黑客破解了admin密码，也无法直接以root身份登录。

SSH安全加固：多维度阻断暴力破解

SSH（Secure Shell，安全外壳协议）是远程管理Linux服务器的核心工具，但默认配置存在安全隐患。某主机因未修改SSH端口，3天内被扫描工具尝试登录2000余次，若密码强度不足后果不堪设想。

首先修改默认端口。SSH默认使用22端口，是黑客扫描的重点目标。编辑sshd_config文件，找到"Port 22"行，改为非默认端口（建议选1024-65535之间的数值，如2222）：
Port 2222
保存后重启服务：
systemctl restart sshd
新端口需在云服务商控制台或服务器防火墙中放行（以ufw为例）：
ufw allow 2222
ufw enable

其次启用密钥认证替代密码登录。本地终端执行：
ssh-keygen -t rsa -b 4096
按提示连续回车（不设置密钥密码可简化登录，但需注意私钥安全），生成的id_rsa（私钥）和id_rsa.pub（公钥）会保存在~/.ssh目录。将公钥上传至服务器：
ssh-copy-id -i ~/.ssh/id_rsa.pub admin@你的服务器IP
输入admin密码完成上传后，编辑sshd_config文件，禁用密码认证：
PasswordAuthentication no
重启SSH服务后，仅能通过私钥登录，暴力破解密码的攻击方式将彻底失效。

最后可配置登录失败限制。安装fail2ban工具（用于屏蔽多次登录失败的IP）：
apt install fail2ban -y
默认配置已针对SSH做了防护，启动服务后会自动监控/var/log/auth.log文件，对10分钟内失败5次的IP封禁10分钟，进一步提升安全性。

购买VPS后做好系统初始化，相当于为服务器筑起第一道安全防线。通过用户权限分层管理、SSH多维度加固，既能满足日常运维需求，又能有效抵御暴力破解、密码泄露等常见攻击。这些操作无需复杂技术，却能显著提升服务器的安全性和稳定性，为后续应用部署和业务运行打下坚实基础。