新入手VPS必做的几件事:从安全加固到性能调优全指南
新入手VPS必做的几件事:从安全加固到性能调优全指南
最近看到不少朋友都在讨论新入手的VPS(大家习惯叫“大妈”或者“小鸡”)到手后该如何驾驭。确实,当你兴奋地拿到root密码登录进去,面对黑底白字的命令行,除了兴奋可能还有点手足无措。
别慌,2026年的今天,虽然云厂商的镜像做得越来越好了,但系统的默认配置依然只适合“尝鲜”,绝不适合“实战”。想把这台机器变成长期稳当的生产力工具,以下这几步“开箱即用”的操作你绝对不能省。
一、 第一件事:改密码、换端口、禁Root
这是老生常谈,但永远是安全的第一道防线。全世界的互联网上,每时每刻都有无数自动化脚本在扫描默认的22端口和弱密码。你的新机器上线几分钟,日志里可能就已经充满了暴力破解的记录。
1. 修改SSH端口
不要用默认的22端口。哪怕改成22222或者随机的五位数,都能挡住99%的无脑扫描脚本。
编辑配置文件:
vim /etc/ssh/sshd_config
找到 #Port 22,去掉注释,改成一个你喜欢的端口(比如 23456)。记得先去云厂商控制台的防火墙(安全组)里放行这个新端口,否则把自己关门外就尴尬了。
2. 禁用Root远程登录
Root账号权限太大,一旦泄露就是灾难。最好的做法是新建一个普通用户,赋予sudo权限,然后用这个用户登录。
# 添加新用户
adduser yourname
# 赋予sudo权限
usermod -aG sudo yourname
接着改SSH配置:
PermitRootLogin no
PasswordAuthentication no # 建议直接禁用密码登录,只留密钥
3. 配置SSH密钥
现在都2026年了,还在用密码登录服务器显得太不极客(而且不安全)。在本地生成密钥对:
ssh-keygen -t ed25519 # ED25519算法比RSA更安全也更短
把公钥 (~/.ssh/id_ed25519.pub) 的内容复制到服务器的 ~/.ssh/authorized_keys 里。以后登录就无需输入密码,既安全又便捷。
二、 系统基础优化:BBR与时间同步
网络环境和系统时间的准确性,直接决定了你的使用体验。
1. 开启BBR拥塞控制
如果你的VPS线路主要为了走流量(比如搭建代理服务、网站加速),开启BBR几乎是必须的。现在的Linux内核(5.9+)已经内置了BBR v2或者Google BBR,无需魔改内核。
可以通过以下命令快速开启:
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
验证是否成功:
lsmod | grep bbr
# 如果有输出,说明加载成功
2. 设置时区并自动对时
很多VPS默认时区是UTC,这对于排查日志(特别是看攻击来源的时间点)非常不友好。建议统一改为本地时区(如上海)。
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
现代发行版通常都预装了 systemd-timesyncd 或 chrony,确保它们处于运行状态,防止时间漂移导致某些证书验证失败。
三、 必装工具集:别裸奔
很多精简版的VPS镜像(特别是Debian系)干净得像个新生儿,连 ifconfig、wget、curl 都没有。先把这些基础工具补齐,否则后续操作寸步难行。
# Ubuntu/Debian
apt update && apt install -y wget curl git vim htop net-tools tmux
# CentOS/RHEL
yum update && yum install -y wget curl git vim htop net-tools tmux
推荐几个神器:
- htop: 比top更好看的进程监控,按F10退出。
- tmux: 防止SSH断开后任务中断的终端复用工具,远程编译或传输大文件时必备。
- vim: 既然不会用nano,就把vim熟练掌握一下吧(或者装个nano也行)。
四、 资源监控与防偷跑
有些厂商提供的VPS虽然是按月付费,但流量是有限制的。或者你是按流量计费的小鸡,如果不小心被挖矿木马接管,一夜破产不是梦。
1. 查看初始资源占用
刚开机不要急着部署,先挂一会看看基础占用(CPU和内存)。如果空载状态CPU就长期飙高,大概率是 neighbour 的“噪音”干扰,或者碰到了超售严重的商家,直接退款流程走起。
2. 简单的流量监控脚本
虽然现在云面板都有图文监控,但在命令行实时查看依然很爽。安装 vnstat:
apt install vnstat
初始化数据库后,输入 vnstat 就能看到历史流量统计了。
五、 推荐的风向标:Docker 原子化部署
进入2026年,如果你还在手动编译安装环境(比如手搓LNMP),那效率就太低了。对于普通人来说,Docker 或者 Podman 已经是事实标准。
- 安装容器环境:根据发行版一键安装Docker。
- 使用Compose:所有服务(WordPress、NextCloud、哪吒面板等),全部写成
docker-compose.yml。重装系统?只要备份这个文件和数据卷,五分钟就能迁移还原。 - 避免污染宿主机:软件装在容器里,环境乱了直接删容器重建,宿主机永远干净如初。
写在最后
新机器到手,心态要稳,操作要细。上述步骤走完,这台VPS才算真正交付到了你手中,而不是还停留在公网的“野蛮状态”。
当然,如果配置实在太低(比如96M内存这种奇葩型号),玩得开心就好,千万不要强求太多功能,毕竟稳如狗才是服务器的最高美德。
有问题随时交流,欢迎在评论区分享你的“新机开荒”神器!

评论已关闭