Linux VPS购买后必做：系统初始化与安全配置指南

刚完成VPS购买的Linux用户常问：如何让新服务器快速进入稳定状态？系统初始化与基础安全设置是关键——前者保障运行环境适配，后者构建基础防护网。本文整理了6项必做操作，助你高效完成新VPS的“开箱”准备。

一、系统初始化：让环境适配需求

1. 更新系统软件包

VPS购买后，系统软件包更新是首要动作。类比新买的电子设备，及时安装最新补丁能修复漏洞、提升性能，Linux系统同样需要这一步。
基于Debian/Ubuntu系统执行：

sudo apt update  # 刷新软件源索引
sudo apt upgrade -y  # 升级所有可更新包（-y自动确认）

CentOS/RHEL系统则用：

sudo yum update -y

整个过程可能耗时5-10分钟，完成后系统将拥有最新安全补丁和功能支持。

2. 校准系统时区

未设置时区的服务器会默认使用UTC时间（世界协调时），与国内常用的东八区存在8小时时差。通过`timedatectl`命令可快速调整：

timedatectl list-timezones  # 查看所有时区（可搜索Asia/Shanghai定位）
sudo timedatectl set-timezone Asia/Shanghai  # 设置为上海时区

设置后输入`date`命令验证，时间应显示为当前北京时间。

3. 创建特权用户替代root

直接使用root账户操作存在高风险——误操作可能导致系统崩溃，且远程登录时易成攻击目标。建议VPS购买后立即创建普通用户并赋予sudo权限：

sudo adduser admin  # 创建名为admin的新用户（按提示设置密码）
sudo usermod -aG sudo admin  # 将admin加入sudo组（可执行特权命令）

后续通过`ssh admin@服务器IP`登录，仅在必要时用`sudo`执行敏感操作。

二、基础安全：构建第一道防护网

1. 禁用root远程登录

即使创建了普通用户，若未禁用root远程登录，攻击者仍可能尝试暴力破解root密码。编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config  # 用nano编辑器打开配置

找到`PermitRootLogin`行，将值从`prohibit-password`改为`no`（部分系统默认是`yes`），保存后重启SSH服务：

sudo systemctl restart sshd  # Debian/Ubuntu
# 或 sudo systemctl restart ssh （部分系统服务名差异）

2. 配置防火墙限制访问

Linux默认防火墙（如ufw/iptables）能拦截非法连接。以常用的ufw（Uncomplicated Firewall）为例：

sudo ufw allow ssh  # 允许SSH端口（默认22）
sudo ufw allow 80/tcp  # 按需开放HTTP端口（若部署网站）
sudo ufw enable  # 启用防火墙
sudo ufw status  # 查看规则生效情况

注意：首次启用前确保已放行SSH端口，否则可能导致远程连接中断。

3. 安装Fail2Ban防御暴力破解

Fail2Ban是轻量级入侵防御工具，通过监控日志识别暴力破解行为并封禁IP。安装命令：

sudo apt install fail2ban -y  # Debian/Ubuntu
# 或 sudo yum install fail2ban -y （CentOS）

默认配置已能防御SSH暴力破解，如需自定义规则（如保护Web服务），可编辑`/etc/fail2ban/jail.local`文件调整阈值（如5分钟内5次失败登录封禁10分钟）。

完成以上步骤后，新购买的Linux VPS已具备基础稳定性和安全性。后续使用中建议定期执行系统更新（每周1次）、检查防火墙规则（每月1次），并关注Fail2Ban日志（如有异常封禁及时排查），让服务器始终保持“健康状态”。