VPS购买后Linux系统初始安全配置清单

完成VPS购买后，Linux系统的初始安全配置是保障服务器稳定运行的关键。许多用户拿到新VPS后急于部署业务，却忽略了基础安全设置，反而为后续运行埋下隐患。本文整理了六大核心配置步骤，覆盖从系统更新到入侵检测的全流程，助你快速构建安全防护网。

第一步：系统软件包全面更新

新购买的VPS系统往往预装旧版本软件包，其中可能存在已知安全漏洞。及时更新是最基础的防护手段。以Ubuntu系统为例，先执行sudo apt update刷新软件源列表，等待命令完成后，再运行sudo apt upgrade升级所有已安装包。CentOS用户则需使用yum update命令，通过yum包管理工具完成系统级更新。这一步能修复大部分因软件版本过旧导致的安全风险。

第二步：防火墙基础规则配置

防火墙是网络安全的第一道闸门。Ubuntu默认使用ufw（Uncomplicated Firewall，简单防火墙），操作比原生iptables更友好。建议先执行sudo ufw enable开启防火墙，再通过sudo ufw allow 22/tcp允许SSH远程登录端口（默认22）。CentOS用户需使用firewalld服务，通过systemctl start firewalld启动后，执行firewall-cmd --permanent --add-service=ssh放行SSH服务。注意：配置完成后务必用ufw status或firewall-cmd --list-all检查规则是否生效。

第三步：禁用root远程登录

root账户拥有系统最高权限，远程直接登录风险极高。建议创建普通用户并赋予sudo权限：在Ubuntu中，用adduser username创建新用户（按提示设置密码），再通过usermod -aG sudo username将用户加入sudo组。随后编辑/etc/ssh/sshd_config文件，将PermitRootLogin yes修改为PermitRootLogin no，最后执行sudo systemctl restart sshd重启SSH服务。此后仅用普通用户登录，需权限操作时通过sudo命令执行。

第四步：自定义SSH连接端口

默认SSH端口22是攻击者重点扫描目标，修改端口能显著降低被暴力破解概率。再次编辑/etc/ssh/sshd_config，找到#Port 22行（#为注释符号），删除注释并改为其他端口（如2222）。修改后需同步更新防火墙规则——Ubuntu用sudo ufw allow 2222/tcp放行新端口，CentOS则执行firewall-cmd --permanent --add-port=2222/tcp。最后重启SSH服务生效。

第五步：安装Fail2ban入侵检测

Fail2ban是轻量级入侵防御工具，通过监控日志自动封禁异常IP。Ubuntu用户执行sudo apt install fail2ban安装，CentOS可用yum install fail2ban。安装后编辑/etc/fail2ban/jail.local配置文件，可调整封禁时长（默认10分钟）、最大尝试次数（默认5次）等参数。完成配置后，用sudo systemctl start fail2ban启动服务，并通过sudo systemctl enable fail2ban设置开机自启，持续守护系统安全。

某小型企业曾因VPS购买后未做安全配置，上线一周内遭遇3次SSH暴力破解攻击。在按上述步骤完成系统更新、防火墙配置、禁用root登录等操作后，当月攻击次数下降85%，内部办公系统数据安全性显著提升。

需要注意的是，安全配置并非一劳永逸。建议每月定期检查系统更新，每季度reviewing防火墙规则，并根据业务需求调整Fail2ban的监控策略。完成VPS购买后，花30分钟做好这些基础配置，能为后续服务器稳定运行省去90%的安全隐患。