VPS 系统安装后必须做的核心安全加固（超详细版）

前言

很多人第一次入手 海外 VPS 时，往往只关注硬件配置、线路延迟、系统选择等使用层面的内容，而容易忽略一个关键问题——新装系统并不是安全的系统。

无论你是用 VPS 搭建网站、跑应用、部署服务，还是学习 Linux，只要服务器暴露在公网环境中，它就随时可能被扫描、尝试登录甚至暴力破解。
因此，系统安装完成后的第一件事，就是进行基础的安全加固。

这一篇文章会带你完成 5 项最实用、最不容易出错、也是最基础的加固步骤。无论你是新手还是老用户，这些步骤都值得长期坚持使用。

一、修改 SSH 默认端口

1.1为什么这一步这么重要？

互联网上充满了扫描器和脚本工具，它们会不断扫描 22 端口并尝试暴力破解 SSH。虽然改变端口并不能从根本上杜绝攻击，但“隐藏入口”确实能减少至少 80% 的随机扫描量。

因此，这个步骤虽然简单，却非常有效，属于 VPS 安全的第一道门槛。

1.2操作步骤

打开 SSH 配置文件：

sudo nano /etc/ssh/sshd_config   # 打开 SSH 配置文件

找到：

Port 22   # 默认 SSH 端口

修改为你设定的端口（例如 22222）：

Port 22222   # 更换成较不常见的端口号，避免大量扫描

保存并重启 SSH：

sudo systemctl restart sshd   # 使 SSH 配置立即生效

1.3注意事项

• 修改端口前，请务必提前放行防火墙（下一节会提到）。

• 不要使用 80、443、3306 等常见服务端口。

• 不要使用 1-1024 的系统端口，建议选择 10000–60000 区间。

二、启用密钥登录并关闭密码登录

2.1为什么密钥比密码更安全？

密码再复杂，本质上仍然是可以被尝试或猜测的。
但密钥是一种非对称加密方式，攻击者无法暴力解出你的私钥，因此几乎无法突破。

开启密钥登录是每个 VPS 用户“稳定运行长达几年”的核心保障。

2.2操作步骤

本地生成密钥（Windows、Mac、Linux 都适用）：

ssh-keygen -t rsa -b 4096   # 生成一个 RSA 4096 位的密钥对

执行后会得到：

• id_rsa（私钥）

• id_rsa.pub（公钥）

将公钥上传至服务器：

mkdir -p ~/.ssh                            # 创建 SSH 目录
echo "你的公钥内容" >> ~/.ssh/authorized_keys   # 将公钥写入授权文件
chmod 600 ~/.ssh/authorized_keys           # 设置正确权限，避免被拒绝

禁用密码登录（极大提升安全）：

PasswordAuthentication no   # 关闭密码方式，只允许密钥登录

三、禁用 root 直接登录

3.1为什么不建议 root 登录？

root 是 Linux 系统中权限最高的用户，一旦攻击者获取 root 权限，整个服务器等于被接管。

禁用 root 登录能显著提升安全性，并减少暴力破解尝试。

3.2配置方式

编辑 SSH 配置：

PermitRootLogin no   # 禁止 root 用户通过 SSH 登录

今后登录方式：

ssh 普通用户@服务器IP   # 使用普通账户登录
sudo -i               # 再切换到 root

3.3这一步的好处

• 避免攻击者瞄准 root 密码。

• 避免误操作导致系统级损坏。

• 迫使用户养成更好的权限管理习惯。

四、配置防火墙（UFW），只开放必要端口

4.1为什么最小开放原则如此重要？

VPS 的安全性和暴露的端口数量成正比。
开放得越多，意味着攻击面越大。

如果你只跑网站，那只需要开放：

• SSH（你的自定义端口）

• 80（HTTP）

• 443（HTTPS）

其余一律关闭。

4.2常用 UFW 配置（Ubuntu）

sudo ufw default deny incoming   # 默认拒绝所有外部访问请求
sudo ufw allow 22222/tcp         # 放行 SSH 新端口（请替换为自己设的端口）
sudo ufw allow http              # 放行 80 端口（网站）
sudo ufw allow https             # 放行 443 端口（HTTPS 网站）
sudo ufw enable                  # 启动 UFW 防火墙

4.3建议

• 如果你部署数据库（如 MySQL、Redis），不要放行到公网。

• 内部端口建议使用 “仅允许内网访问” 的方式进行连接。

五：附加建议（可选但推荐）

如果你想进一步提升安全，可以考虑：

5.1关闭 IPv6（如果你不用）

避免额外暴露 IPv6 端口。

5.2使用 Cloudflare WAF 保护网站

免遭常见的 Web 扫描与攻击。

5.3定期更新系统

sudo apt update && sudo apt upgrade -y

5.4设置自动备份

别等被入侵后才想起没有备份。

总结

只要完成这几项基础加固，你的 VPS 就能抵挡绝大多数低阶攻击与随机扫描，让你搭建网站、部署服务时更加安心。