作为一名网络安全从业者，我经常被问到关于VPS和CentOS的使用问题。今天我就用最通俗易懂的方式，结合10年实战经验，为你详细解析VPS上CentOS系统的完整使用流程，包括安全配置、性能优化等关键知识点。

一、什么是VPS？为什么选择CentOS？

VPS(Virtual Private Server)虚拟专用服务器，简单理解就是"云电脑"。它比共享主机更强大，比独立服务器更便宜。而CentOS作为Linux发行版中的"老大哥"，以稳定性和安全性著称。

举个实际案例：去年某电商平台迁移到CentOS 7后，系统崩溃次数从每月3-4次降为零。这就是为什么90%的企业级应用都选择CentOS——它就像服务器界的"丰田卡罗拉"，可能不是最炫酷的，但绝对可靠。

二、购买VPS后的第一步：安全登录

拿到VPS后，第一件事不是急着装环境，而是做好安全防护！很多新手在这步就栽跟头。

错误示范：直接root密码登录 → 等着被黑客爆破吧

正确操作：

1. 修改SSH端口（默认22端口是黑客扫描的重灾区）

```bash

vi /etc/ssh/sshd_config

找到Port 22改为其他端口如5822

systemctl restart sshd

```

2. 禁止root直接登录（黑客最喜欢root了）

PermitRootLogin no

3. 创建普通用户并赋予sudo权限

adduser yourname

passwd yourname

usermod -aG wheel yourname

我曾处理过一个被入侵的案例：客户使用默认22端口+弱密码，黑客仅用2小时就攻破服务器植入挖矿程序。做好这三步，能挡住90%的自动化攻击。

三、CentOS基础环境配置

1. 系统更新与基础工具安装

```bash

yum update -y && yum upgrade -y

yum install -y wget curl vim git lsof net-tools

```

小技巧：使用`yum history`可以查看安装记录，出问题时方便回滚。

2. 防火墙配置（重要！）

CentOS自带的firewalld比iptables更友好：

systemctl start firewalld

systemctl enable firewalld

放行之前修改的SSH端口

firewall-cmd --permanent --add-port=5822/tcp

firewall-cmd --reload

查看规则

firewall-cmd --list-all

记住这个原则：最小权限原则——只开放必要的端口。我见过太多因为开放3306(Mysql)端口导致数据库被拖库的案例。

3. 时间同步配置

服务器时间不准会导致各种诡异问题：

yum install -y ntp

systemctl start ntpd

systemctl enable ntpd

验证同步状态

ntpq -p

四、必装的性能监控工具

1. htop - 进程监控神器

yum install -y epel-release && yum install -y htop

htop比传统top更直观显示CPU、内存占用情况。当服务器卡顿时，第一反应应该是打开htop看哪个进程在"吃资源"。

2. nmon - 全方位系统监控

yum install -y nmon

输入`nmon`后按：

- c: CPU使用率

- m: 内存情况

- d: 磁盘I/O

特别适合排查性能瓶颈时使用。

五、Web环境搭建示例（LNMP）

以搭建WordPress为例：

1. Nginx安装

yum install -y nginx

systemctl start nginx

systemctl enable nginx

SELinux可能导致403错误（常见坑！）

setsebool -P httpd_can_network_connect on

2. MySQL安全安装

wget https://dev.mysql.com/get/mysql80-community-release-el7-3.noarch.rpm

rpm -ivh mysql80-community-release-el7-3.noarch.rpm

yum install -y mysql-server

systemctl start mysqld

grep 'temporary password' /var/log/mysqld.log

获取初始密码

mysql_secure_installation

必须运行的安全脚本！

注意：MySQL8默认启用强密码策略，建议用`ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY '你的密码';`修改加密方式兼容老程序。

3. PHP安装

```bash

yum install -y php php-fpm php-mysqlnd

systemctl start php-fpm

配置Nginx支持PHP的关键点：

location ~ \.php$ {

fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;

include fastcgi_params;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

}

六、安全加固进阶操作

1. Fail2Ban防暴力破解

yum install -y fail2ban

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

修改jail.local：

[sshd]

enabled = true

port = 5822

你修改后的SSH端口

systemctl start fail2ban

效果：同一IP尝试5次错误密码后自动封禁10分钟。我的服务器日志显示这阻止了日均300+次的爆破尝试。

2. SSH密钥登录（彻底告别密码）

本地生成密钥对：

ssh-keygen -t rsa

一路回车

上传公钥到服务器

ssh-copy-id -p5822 yourname@your.server.ip

禁用密码登录（/etc/ssh/sshd_config）：

PasswordAuthentication no

七、备份策略设计

血的教训：没有备份等于在悬崖边开车！

推荐方案：

1. 本地备份：每天自动打包网站和数据库到/home/backup/

```bash

tar czf /home/backup/site_$(date +%F).tar.gz /var/www/html/

mysqldump -u root -p yourdb > /home/backup/db_$(date +%F).sql

添加定时任务（每天凌晨3点）：

0 3 * * * /root/backup.sh >> /var/log/backup.log

2. 异地备份：每周用rsync同步到另一台服务器或OSS存储

3. 紧急恢复测试：每季度演练一次恢复流程

【避坑指南】常见问题Q&A

Q: yum安装软件报错"No package available"？

A: CentOS默认源有限，先执行`yum install epel-release`扩展软件源

Q: VPS突然连不上怎么办？

分步排查：

1. ping IP是否通 → VPS是否在线

2. telnet IP SSH端口 → SSH服务是否正常

3. VNC控制台查看 →系统是否卡死

Q: CPU跑满怎么查原因？

三步走：

1. `top`看哪个进程占用高

2. `strace -p PID`跟踪进程系统调用

3. `lsof -p PID`查看打开的文件

---

希望这篇指南能帮你避开我当年踩过的所有坑。记住：服务器的安全性不是一次性的工作，而是需要持续维护的过程。建议至少每月做一次安全检查，保持系统更新。如果有其他具体问题欢迎留言讨论！

TAG:vps centos 使用,vps常用命令,linux vps free,centos配置vps