VPS购买后Linux系统安全防护：基础设置+漏洞扫描指南

刚完成VPS购买的新手常问：“买完VPS后第一步该做什么？”答案很明确：给Linux系统做基础安全设置+漏洞扫描。就像新买的房子要装防盗锁、检查电路隐患，服务器的安全防护同样是运行前的必修课。本文结合实际操作场景，整理了一套可直接上手的防护流程，帮你快速筑牢服务器安全防线。

第一步：基础安全设置——堵住主要攻击入口

1. 改SSH默认端口：避开黑客“扫描雷达”

Linux默认的SSH远程管理端口是22，就像小区大门总被小偷重点盯梢，这个端口每天会被扫描工具反复试探。修改端口能大幅降低被暴力破解的概率。
操作步骤：
- 用命令打开配置文件：`sudo nano /etc/ssh/sshd_config`（nano是Linux下的文本编辑器，上下箭头移动光标）
- 找到`Port 22`这一行，把22改成自定义端口（推荐4位以上非常用端口，比如12345）
- 保存退出（按Ctrl+O保存，Ctrl+X退出），然后重启SSH服务：`sudo systemctl restart sshd`

2. 禁用root远程登录：收回“超级钥匙”

root账户是Linux的“系统管理员”，拥有所有权限。允许root直接远程登录，相当于把别墅钥匙挂在门口。正确做法是：
- 回到刚才的`sshd_config`文件，找到`PermitRootLogin yes`
- 改为`PermitRootLogin no`（禁止root远程登录）
- 保存后同样重启sshd服务生效

3. 新建管理用户：用“有限权限”替代“最高权限”

禁用root远程登录后，需要创建一个有sudo权限（临时获取管理员权限）的普通用户。
操作示例：
- 创建用户：`adduser newuser`（按提示设置密码和用户信息）
- 授予sudo权限：`usermod -aG sudo newuser`（把newuser加入sudo组）
- 之后用`ssh newuser@你的VPS公网IP -p 12345`登录（-p指定刚才改的端口），需要执行管理员命令时前缀`sudo`即可（如`sudo apt update`）

第二步：防火墙设置——给服务器加道“安全门”

UFW（Uncomplicated Firewall，简单防火墙工具）是Linux下的“智能门卫”，能按规则放行/拦截网络请求。
操作流程：
1. 安装UFW（Debian/Ubuntu系统）：`sudo apt-get install ufw`
2. 设置默认策略：
- 拒绝所有入站连接（防外部攻击）：`sudo ufw default deny incoming`
- 允许所有出站连接（保证服务器能正常联网）：`sudo ufw default allow outgoing`
3. 开放必要端口：比如刚才改的SSH端口12345，执行` sudo ufw allow 12345/tcp`（/tcp指定TCP协议）
4. 启用防火墙：`sudo ufw enable`（输入y确认）
5. 查看状态：`sudo ufw status`（会显示已允许的端口）

第三步：漏洞扫描——找出隐藏的“安全隐患”

1. Nmap端口扫描：查清“哪些门没关”

Nmap（Network Mapper，网络映射工具）能扫描服务器开放的端口和对应服务，帮你发现意外开放的“漏洞入口”。
操作步骤：
- 安装：`sudo apt-get install nmap`
- 扫描本地（127.0.0.1是本机IP）：`sudo nmap -sV 127.0.0.1`
- 扫描结果会列出开放端口（如80/http、22/ssh）和服务版本（如Apache/2.4.41）。如果发现陌生端口（比如445/smb，常见攻击目标），用`ufw deny 端口号`关闭。

2. Lynis安全审计：给系统做“全面体检”

Lynis是开源的系统安全审计工具，能检查系统配置、服务漏洞、日志记录等300+项安全指标。
操作示例：
- 安装：`sudo apt-get install lynis`
- 启动审计：`sudo lynis audit system`（需要几分钟，过程中会显示检查项）
- 生成报告：结束后会输出“建议修复项”（如“密码策略过弱”“未启用自动更新”），按提示逐一处理即可。

完成VPS购买后，这套“基础设置+漏洞扫描”组合拳能解决80%以上的常见安全风险。无论是个人搭建博客，还是企业部署业务系统，花30分钟做好这些操作，相当于给服务器上了双保险——既防外部攻击，也能及时发现内部配置隐患。后续定期（建议每月）用Lynis复查，配合系统自动更新（`sudo apt upgrade`），服务器安全系数会持续在线。