新开的 VPS 如果用默认配置和密码登录,几个小时内就会被全网扫描器盯上。做好下面几步基础加固,能挡掉 99% 的自动化攻击。
1. 创建非 root 用户
adduser deploy
usermod -aG sudo deploy
2. 配置 SSH 密钥并禁用密码登录
本地生成密钥并上传:
ssh-keygen -t ed25519
ssh-copy-id deploy@your-server-ip
确认能用密钥登录后,编辑 /etc/ssh/sshd_config:
PasswordAuthentication no
PermitRootLogin no
重载:sudo systemctl reload sshd。务必先确认密钥可登录再禁用密码,否则可能把自己锁在外面。
3. 配置 ufw 防火墙
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
sudo ufw allow 80,443/tcp
sudo ufw enable
sudo ufw status
4. 安装 fail2ban 拦暴力破解
sudo apt install fail2ban -y
sudo systemctl enable --now fail2ban
5. 保持系统更新
sudo apt update && sudo apt upgrade -y
建议开启自动安全更新(unattended-upgrades)。完成以上五步,你的 VPS 安全水平已远超大多数线上机器。需要进一步的加固方案,可联系客服 @aliyun370。