新开的 VPS 如果用默认配置和密码登录,几个小时内就会被全网扫描器盯上。做好下面几步基础加固,能挡掉 99% 的自动化攻击。

1. 创建非 root 用户

adduser deploy
usermod -aG sudo deploy

2. 配置 SSH 密钥并禁用密码登录

本地生成密钥并上传:

ssh-keygen -t ed25519
ssh-copy-id deploy@your-server-ip

确认能用密钥登录后,编辑 /etc/ssh/sshd_config

PasswordAuthentication no
PermitRootLogin no

重载:sudo systemctl reload sshd务必先确认密钥可登录再禁用密码,否则可能把自己锁在外面。

3. 配置 ufw 防火墙

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
sudo ufw allow 80,443/tcp
sudo ufw enable
sudo ufw status

4. 安装 fail2ban 拦暴力破解

sudo apt install fail2ban -y
sudo systemctl enable --now fail2ban

5. 保持系统更新

sudo apt update && sudo apt upgrade -y

建议开启自动安全更新(unattended-upgrades)。完成以上五步,你的 VPS 安全水平已远超大多数线上机器。需要进一步的加固方案,可联系客服 @aliyun370