VPS服务器购买后必做：5项基础安全设置清单

VPS服务器购买后，许多用户急于部署网站或应用，却常忽略基础安全设置。去年某小型企业就因未及时加固服务器，遭黑客暴力破解默认端口，导致客户数据泄露，不仅赔偿数十万，更损失了多年积累的商誉。这提醒所有VPS用户：购买后首件事不是装软件，而是做好基础安全防护。以下5项操作，建议拿到服务器后1小时内完成。

1. 改SSH默认端口：避开黑客扫描靶心

SSH（安全外壳协议）是远程管理服务器的核心工具，默认使用22端口。但这个端口是黑客的“重点关照对象”——他们用扫描工具地毯式搜索开放22端口的服务器，再用暴力破解工具尝试登录。

操作很简单：用root账户登录服务器，打开SSH配置文件`/etc/ssh/sshd_config`，找到`Port 22`这行，改成不常用的端口（比如2222）。保存后执行`sudo systemctl restart sshd`重启服务。最后用`netstat -tlnp | grep sshd`检查，确认2222端口已监听，说明修改成功。

2. 装防火墙：给服务器套上“流量闸门”

没防火墙的服务器像敞开大门的房子，所有端口都暴露在外。推荐用UFW（简单防火墙），对新手友好，几条命令就能完成基础防护。

安装后先重置规则：`sudo ufw reset`；然后只允许必要端口，比如刚改的SSH端口2222和网站用的80/443：`sudo ufw allow 2222/tcp`、`sudo ufw allow 80/tcp`、`sudo ufw allow 443/tcp`；最后启用防火墙：`sudo ufw enable`。执行`ufw status`能查看当前规则，确保只开放了需要的端口。

3. 系统更新：补上已知安全漏洞

新购的VPS系统可能预装的是旧版软件，而软件开发商会定期发布安全补丁。比如去年某PHP版本的漏洞，就被黑客利用入侵了数万台未更新的服务器。

在Ubuntu/Debian系统，执行`sudo apt update && sudo apt upgrade -y`，等待系统自动下载安装更新。更新完成后最好重启服务器（`sudo reboot`），确保内核等关键组件生效。建议每周固定时间检查更新，或设置自动更新（`sudo apt install unattended-upgrades`）。

4. 禁用root登录：缩小权限攻击面

root是服务器的“超级管理员”，一旦密码泄露，黑客能删除数据、安装后门程序，后果不堪设想。正确做法是创建普通用户，通过sudo临时获取权限。

先创建新用户：`adduser admin`（按提示设置密码）；然后授予sudo权限：`usermod -aG sudo admin`。接着修改SSH配置文件`/etc/ssh/sshd_config`，找到`PermitRootLogin yes`，改为`PermitRootLogin no`。保存后重启SSH服务（`sudo systemctl restart sshd`），之后只能用admin用户登录，再通过`sudo`执行需要权限的操作。

5. 密钥登录：密码暴力破解的“终极克星”

密码再复杂也可能被暴力破解，而密钥认证用“公钥+私钥”的非对称加密，几乎无法被破解。

本地电脑用`ssh-keygen -t rsa -b 4096`生成密钥对（一路回车用默认路径），然后把公钥传到服务器：`ssh-copy-id -p 2222 admin@你的服务器IP`（输入admin密码确认）。最后修改SSH配置文件，禁用密码登录：找到`PasswordAuthentication yes`，改为`no`。重启SSH服务后，本地用私钥（默认在~/.ssh/id_rsa）就能无密码登录，彻底告别密码泄露风险。

VPS服务器购买后，这5项操作如同给服务器上了“五重安全锁”。从改端口避开扫描，到用密钥杜绝暴力破解，每一步都在缩小黑客的攻击路径。建议新手按顺序操作，完成后用`ssh -p 2222 admin@服务器IP`测试登录，确保所有设置生效。提前花半小时做安全防护，能避免未来数小时甚至数天的补救工作，让业务运行更安心。