很多人买来第一台VPS可能不知道干什么,是到手之后直接装宝塔,然后部署一个WordPress 博客丢上去跑了两天。可能过几天你就会发现 auth.log 里全是暴力破解记录,SSH 端口没有改还是默认的 22,root 密码没有做修改还是简单的 8 数字。最离谱的是你没有一开始测试号,最后发现那台机器的网络在晚高峰根本不能用,到最后可以部署完了才发现的,前面装的东西全白费功夫。
所以我才要写这篇文章,介绍我的流程:新机器到手,不要一上来就按照服务,先按照我的固定流程把去设置一遍服务器。整个过程其实没消耗多少时间,但确保了不会出现什么都安装好了,然后没法用的乌龙。
SSH 加固
其实你机器从开机那一刻开始,服务器的22 端口就已经在被全网扫描了。如果你不信你可以在命令行下,跑 grep "Failed password" /var/log/auth.log,新开的机器开机不到半天,这个文件就能刷出一屏暴力破解日志。但是你也别多想,其实没有人盯着你,只是所有公网 IP 无时无刻都有人在扫。如果你要是弱密码 + 默认端口,被人撞库进入你的服务器只是时间问题。
我现在的习惯是:拿到机器第一件事不是马上开始装东西,而是把 SSH 的端口和登入方式先修改。
改 SSH 端口
bash
nano /etc/ssh/sshd_config找到 #Port 22,去掉注释,改成你自己的端口,比如 Port 5922。
禁用密码登录,改用密钥
还是在 sshd_config 里,确认这几行:
yaml
PubkeyAuthentication yes
PasswordAuthentication no
PermitRootLogin prohibit-password
改完之后重启 SSH:
systemctl restart sshd注意:改完不要马上关掉当前连接。可以先开一个新窗口用新端口和密钥连一次,确认能登进去再关闭旧窗口。不然关早了、密钥没配对成功,你就只能去商家后台用 VNC 救回来了。
怎么确认改好了:新窗口用新端口 + 密钥能登进去,旧端口和密码都连不上,就对了。
延伸阅读:如果你想要更完整的加固流程(包括 fail2ban、防火墙规则、禁用 root),可以看这篇:别再让VPS裸奔!保姆级Linux安全加固教程,彻底告别SSH暴力破解
系统更新和基础工具
SSH 修改好之后,也先别急着装面板。我以前就是这步跳太快,后面装软件的时候老是缺东西,curl 没有、htop 没有、系统时间还有问题还差八个小时,查日志的时候就出问题了,时间都对不上。现在我学会先把系统底座弄好再开始干活。
更新系统
sql
apt update && apt upgrade -y如果是 CentOS / AlmaLinux,换成 yum update -y。
装常用工具
apt install -y curl wget vim htop git unzip这几个后面几乎都会用到。我之前有台机器连 wget 都没有,下个脚本还得先装工具,烦得很。
同步时间
arduino
timedatectl set-timezone Asia/Shanghai这步不是必须的,但看日志排查问题的时候,时间对不上会很烦。
要不要现在装 Docker?
arduino
curl -fsSL https://get.docker.com | sh如果你后面打算用 Docker 跑服务(面板、监控、博客、密码管理器),建议这步就装:
装完跑一下 docker --version,能出版本号就行。
如果你只是拿来建站、装宝塔,Docker 可以先不装。但我自己的习惯是,不管这台机器最后干什么,Docker 先装上。因为我后面跑哪吒监控、Vaultwarden、Umami 这些全是 Docker 起的,先装好后面随时能用,不装的话到时候还得回来折腾一遍环境。
网络和 IP:先验一遍再说
这步我吃过最大的亏。之前一台机器白天测速跑得挺好看,我直接开始部署,到晚上自己一连才发现延迟飙到 300ms,晚高峰根本没法用。问题出在我没测回程,白天的数据完全不能代表晚上。所以现在我的规矩是,系统装好之后、部署任何服务之前,先把网络验一遍。
测 IP 通不通
最快的办法:去 itdog.cn 在线 ping 你的 IP。
-
全红(全球超时):机器可能没开好,或者 IP 本身有问题,先去商家后台检查
-
海外绿、大陆红:大概率是 IP 被墙了,需要换 IP 或者走跳板
-
全绿:正常,继续下一步
测回程线路
mtr -rn 你的本地IPping 通了不代表能用,还得看回程。在机器上装 besttrace 或者用 MTR:
重点看晚高峰(20:00-23:00)的表现。白天测速好看没太大意义,网络稳定性还是要看晚高峰不抖动才是真的好。
测流媒体解锁(如果你在意)
scss
bash <(curl -L -s media.ispvps.com)这步看你需求,如果只是建站、跑服务,不测也行。
延伸阅读:IP 状态排查的完整方法可以看:买完VPS不知道通不通?保姆级教程:教你如何正确测试IP状态
给自己留个底
按照我的流程跑完,你手里的VPS机器基本就没问题了。但是如果你还想和我一样完善可以跟着下面继续学。主要还是因为我手上机器很多,经常忘掉某台到底装了什么、什么时候到期、什么时候需要续费等问题。
安装监控探针
我自己每台机器都会装哪吒监控。CPU、内存、流量、在线状态全能看,哪台机器挂了直接有告警,不用一台台 SSH 上去查。你要是只有一两台机器,哪吒或者 MyNodeQuery 都行,选一个装上就好。
开快照或备份
有些商家支持自动快照(比如 Vultr、Lightsail),后台点两下就能开,几乎不花钱。没有自动快照的,至少把 /etc/ssh/、/etc/nginx/、docker compose 文件这些手动打个包存一份。
我前面有一台机器,配了大半天的环境,结果手滑把 nginx 配置删了,又没备份,重新配了一遍。从那以后我每台机器跑通了就先打一个快照,至少保证有个干净的还原点。
记下来这台机器的信息
找个地方把这些记下来:
-
这台机器拿来干什么
-
IP 地址、SSH 端口、登录方式
-
商家、套餐、到期时间、续费价格
-
开机后装了什么
我自己是用 Obsidian 建了个表,每台机器一条记录。你用什么工具无所谓,哪怕开个备忘录也行,关键是别全靠脑子记。我前面就有一台 CloudCone 的年付机,到期自动续费涨了价我都不知道,就是因为没记。
我现在的顺序就是这样
锁 SSH、更新系统、验网络、留记录。半小时到一小时的事,但省掉的是后面翻回来补课的时间。
我现在每台新机器到手都按这个顺序走,不管是 <math xmlns="http://www.w3.org/1998/Math/MathML"> 10 一年的小鸡还是 10 一年的小鸡还是 </math>10一年的小鸡还是50 一月的生产机。你第一台机器照着跑一遍,后面开新机直接复制流程就行。
这些步骤本身没什么难的,花半小时走一遍而已。但你要是跳过了,后面出问题的时候补回来花的时间远不止半小时。