新入手VPS必做的几件事:从安全加固到性能调优全指南

最近看到不少朋友都在讨论新入手的VPS(大家习惯叫“大妈”或者“小鸡”)到手后该如何驾驭。确实,当你兴奋地拿到root密码登录进去,面对黑底白字的命令行,除了兴奋可能还有点手足无措。

别慌,2026年的今天,虽然云厂商的镜像做得越来越好了,但系统的默认配置依然只适合“尝鲜”,绝不适合“实战”。想把这台机器变成长期稳当的生产力工具,以下这几步“开箱即用”的操作你绝对不能省。

一、 第一件事:改密码、换端口、禁Root

这是老生常谈,但永远是安全的第一道防线。全世界的互联网上,每时每刻都有无数自动化脚本在扫描默认的22端口和弱密码。你的新机器上线几分钟,日志里可能就已经充满了暴力破解的记录。

1. 修改SSH端口

不要用默认的22端口。哪怕改成22222或者随机的五位数,都能挡住99%的无脑扫描脚本。

编辑配置文件:

vim /etc/ssh/sshd_config

找到 #Port 22,去掉注释,改成一个你喜欢的端口(比如 23456)。记得先去云厂商控制台的防火墙(安全组)里放行这个新端口,否则把自己关门外就尴尬了。

2. 禁用Root远程登录

Root账号权限太大,一旦泄露就是灾难。最好的做法是新建一个普通用户,赋予sudo权限,然后用这个用户登录。

# 添加新用户
adduser yourname

# 赋予sudo权限
usermod -aG sudo yourname

接着改SSH配置:

PermitRootLogin no
PasswordAuthentication no  # 建议直接禁用密码登录,只留密钥

3. 配置SSH密钥

现在都2026年了,还在用密码登录服务器显得太不极客(而且不安全)。在本地生成密钥对:

ssh-keygen -t ed25519  # ED25519算法比RSA更安全也更短

把公钥 (~/.ssh/id_ed25519.pub) 的内容复制到服务器的 ~/.ssh/authorized_keys 里。以后登录就无需输入密码,既安全又便捷。

二、 系统基础优化:BBR与时间同步

网络环境和系统时间的准确性,直接决定了你的使用体验。

1. 开启BBR拥塞控制

如果你的VPS线路主要为了走流量(比如搭建代理服务、网站加速),开启BBR几乎是必须的。现在的Linux内核(5.9+)已经内置了BBR v2或者Google BBR,无需魔改内核。

可以通过以下命令快速开启:

echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p

验证是否成功:

lsmod | grep bbr
# 如果有输出,说明加载成功

2. 设置时区并自动对时

很多VPS默认时区是UTC,这对于排查日志(特别是看攻击来源的时间点)非常不友好。建议统一改为本地时区(如上海)。

ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

现代发行版通常都预装了 systemd-timesyncdchrony,确保它们处于运行状态,防止时间漂移导致某些证书验证失败。

三、 必装工具集:别裸奔

很多精简版的VPS镜像(特别是Debian系)干净得像个新生儿,连 ifconfigwgetcurl 都没有。先把这些基础工具补齐,否则后续操作寸步难行。

# Ubuntu/Debian
apt update && apt install -y wget curl git vim htop net-tools tmux

# CentOS/RHEL
yum update && yum install -y wget curl git vim htop net-tools tmux

推荐几个神器:

  • htop: 比top更好看的进程监控,按F10退出。
  • tmux: 防止SSH断开后任务中断的终端复用工具,远程编译或传输大文件时必备。
  • vim: 既然不会用nano,就把vim熟练掌握一下吧(或者装个nano也行)。

四、 资源监控与防偷跑

有些厂商提供的VPS虽然是按月付费,但流量是有限制的。或者你是按流量计费的小鸡,如果不小心被挖矿木马接管,一夜破产不是梦。

1. 查看初始资源占用

刚开机不要急着部署,先挂一会看看基础占用(CPU和内存)。如果空载状态CPU就长期飙高,大概率是 neighbour 的“噪音”干扰,或者碰到了超售严重的商家,直接退款流程走起。

2. 简单的流量监控脚本

虽然现在云面板都有图文监控,但在命令行实时查看依然很爽。安装 vnstat

apt install vnstat

初始化数据库后,输入 vnstat 就能看到历史流量统计了。

五、 推荐的风向标:Docker 原子化部署

进入2026年,如果你还在手动编译安装环境(比如手搓LNMP),那效率就太低了。对于普通人来说,Docker 或者 Podman 已经是事实标准。

  1. 安装容器环境:根据发行版一键安装Docker。
  2. 使用Compose:所有服务(WordPress、NextCloud、哪吒面板等),全部写成 docker-compose.yml。重装系统?只要备份这个文件和数据卷,五分钟就能迁移还原。
  3. 避免污染宿主机:软件装在容器里,环境乱了直接删容器重建,宿主机永远干净如初。

写在最后

新机器到手,心态要稳,操作要细。上述步骤走完,这台VPS才算真正交付到了你手中,而不是还停留在公网的“野蛮状态”。

当然,如果配置实在太低(比如96M内存这种奇葩型号),玩得开心就好,千万不要强求太多功能,毕竟稳如狗才是服务器的最高美德。

有问题随时交流,欢迎在评论区分享你的“新机开荒”神器!

标签: none

AI Skills Smart Station on Nick Launches

评论已关闭