VPS购买后Linux系统初始化与基础安全加固步骤

完成VPS购买后，面对新到手的Linux系统，许多用户会陷入“不知从何下手”的迷茫：直接用root登录是否安全？系统包需要更新吗？日志时间总对不上怎么办？别慌，系统初始化和基础安全加固是解决这些问题的关键第一步。这两项操作不仅能提升系统稳定性，更能从根源降低被攻击风险，尤其适合刚接触VPS的新手用户。接下来，我们分步骤拆解具体操作，帮你快速搭建安全稳定的运行环境。

一、系统初始化：让VPS“跑”得更稳

1. 更新系统软件包：修复漏洞的第一步

新购VPS的系统包可能包含旧版本软件，存在已知漏洞。及时更新能修复这些问题，同时提升系统性能。不同发行版的更新命令略有差异：
- Debian/Ubuntu用户输入：

sudo apt update && sudo apt upgrade -y

- CentOS/RHEL用户输入：

sudo yum update -y

这里建议加上`-y`参数自动确认，避免手动输入“yes”的繁琐。

2. 设置时区：避免日志“时间混乱”

曾遇到用户反馈“日志时间比本地晚8小时”，问题根源就是时区未设置。以设置上海时区为例，执行命令：

sudo timedatectl set-timezone Asia/Shanghai

设置后可通过`sudo timedatectl`查看是否生效，确保任务调度（如crontab）和日志记录时间与本地一致。

3. 创建受限用户：告别“裸奔”的root

直接用root远程操作风险极高，一旦密码泄露后果严重。建议创建新用户并赋予sudo权限：

sudo adduser 你的用户名  # 按提示设置密码和信息
sudo usermod -aG sudo 你的用户名

之后切换新用户登录，日常操作都用这个账号，仅在必要时通过`sudo`执行特权命令。

二、基础安全加固：给VPS“上把锁”

1. 禁用root远程登录：堵住最大的攻击入口

攻击者扫描VPS时，首选目标就是root账号。编辑SSH配置文件关闭root远程登录：

sudo nano /etc/ssh/sshd_config

找到`PermitRootLogin`行，将值改为`no`（原为`prohibit-password`或`yes`），保存后重启SSH服务：

sudo systemctl restart sshd

注意：操作前确保新用户能正常登录，避免锁死自己。

2. 配置防火墙：只放必要流量

以Ubuntu的ufw（简单防火墙）为例，安装并启用：

sudo apt install ufw -y
sudo ufw allow ssh  # 允许SSH连接（默认22端口，若改端口需调整）
sudo ufw enable  # 启用防火墙

后续部署Web服务时，再通过`sudo ufw allow 80/tcp`开放HTTP端口，最小化暴露面。

3. 修改SSH默认端口：让攻击者“找不着门”

默认22端口是扫描重灾区，改成10000-65535之间的非标准端口（如2222）能降低被攻击概率。编辑`/etc/ssh/sshd_config`，找到`Port 22`改为`Port 2222`，保存后重启SSH服务（命令同上）。连接时需指定端口：`ssh -p 2222 用户名@VPSIP`。

4. 安装Fail2Ban：自动拦截暴力破解

遇到过用户VPS被暴力破解50次/分钟的情况，安装Fail2Ban后能自动封禁恶意IP。安装命令：

sudo apt install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local  # 复制配置模板
sudo nano /etc/fail2ban/jail.local  # 调整 bantime（封禁时长）、maxretry（最大尝试次数）等参数
sudo systemctl start fail2ban && sudo systemctl enable fail2ban  # 启动并设为开机自启

默认配置已足够应对大多数情况，新手可直接使用。

完成以上步骤，新购VPS的Linux系统基本能达到“稳定运行+基础防护”的状态。后续可根据需求进一步优化，比如配置SSH密钥登录替代密码、定期备份数据等。记住，VPS安全是持续过程，定期检查更新和日志，才能长期保障系统安全。