VPS服务器购买后Linux初始化与安全配置指南
文章分类:更新公告 /
创建时间:2025-07-11
VPS服务器购买后,Linux系统初始化与安全设置是保障运行稳定和数据安全的基础。这一步不仅能让系统运行更稳,还能给数据上把“安全锁”。下面结合实际操作经验,详细拆解关键步骤。
系统初始化:从基础配置到稳定运行
第一步:更新系统软件包
新购的VPS服务器,系统软件包可能不是最新版本。及时更新能修复潜在漏洞,确保后续操作兼容性。不同Linux发行版命令有差异:
- Debian/Ubuntu系:通过`sudo apt update && sudo apt upgrade -y`完成(先更新软件源列表,再升级所有已安装包);
- Red Hat/CentOS系:使用`sudo yum update -y`一键升级(-y参数自动确认,避免手动输入)。
第二步:校准系统时区
时区设置影响日志时间戳、定时任务执行等关键功能。最直接的方法是用`timedatectl set-timezone 'Asia/Shanghai'`命令,将时区设为“上海”(国内用户常用)。若需其他时区,可通过`timedatectl list-timezones`查看所有选项,替换对应名称即可。
第三步:创建专用管理用户
直接使用root用户操作风险极高,建议创建普通用户并赋予sudo权限。操作分三步:
1. 新建用户:`adduser newuser`(按提示设置密码和用户信息);
2. 加入sudo组:`usermod -aG sudo newuser`(使新用户能临时获取管理员权限);
3. 切换用户:`su - newuser`(后续操作建议用此用户完成)。
安全加固:从端口防护到主动防御
调整SSH端口,降低暴力破解风险
SSH(Secure Shell,安全外壳协议)默认使用22端口,是攻击者重点扫描目标。修改端口能大幅减少暴露面:
1. 编辑配置文件:`sudo vim /etc/ssh/sshd_config`;
2. 找到`Port 22`行,改为`Port 2222`(或其他1024-65535间的非特权端口);
3. 重启服务生效:`sudo systemctl restart sshd`。
禁用root远程登录,切断高危入口
即使修改了SSH端口,允许root远程登录仍有风险。继续编辑`/etc/ssh/sshd_config`,将`PermitRootLogin yes`改为`PermitRootLogin no`(禁止root直接远程登录)。保存后重启sshd服务,后续只能通过普通用户登录再切换root(需输入sudo密码)。
配置防火墙,过滤非法访问
防火墙是网络层的第一道防线。以常用的ufw(适用于Debian/Ubuntu)为例:
1. 安装工具:`sudo apt install ufw -y`;
2. 允许新SSH端口:`sudo ufw allow 2222`(仅开放必要端口);
3. 启用防火墙:`sudo ufw enable`(启用后会提示“Command may disrupt existing ssh connections”,确认当前SSH连接正常后执行)。
Red Hat系可使用`firewall-cmd`命令,如`firewall-cmd --add-port=2222/tcp --permanent`添加端口,`firewall-cmd --reload`生效。
设置自动更新,修复已知漏洞
手动更新易遗漏,建议设置定时任务自动执行。以Ubuntu为例:
1. 编辑定时任务:`crontab -e`(选择编辑器后进入);
2. 添加任务:`0 2 * * * apt update && apt upgrade -y`(每天凌晨2点自动更新);
CentOS则用`0 2 * * * yum update -y`。自动更新能及时安装安全补丁,降低被攻击概率。
完成以上步骤后,VPS服务器的Linux系统基本能达到“稳定运行+基础防护”的状态。日常维护中建议定期查看`/var/log/auth.log`(SSH登录日志)和`/var/log/syslog`(系统日志),若发现异常IP频繁尝试登录,可通过防火墙封禁对应IP(如`ufw deny from 192.168.1.100`)。记住,服务器安全是动态过程,根据实际业务需求调整防护策略,才能更好保护数据和服务。