手把手教你用VPS创建普通用户安全管理的必修课(附实战命令)
卡尔云官网
www.kaeryun.com
如果你是刚接触服务器管理的小白,"直接用root账号操作"可能是最省事的习惯——但我要告诉你:这相当于把自家大门钥匙插在锁眼上出门逛街!今天我就用最直白的语言+实战案例告诉你:为什么必须创建普通用户?如何科学配置权限?最后还会送你一套"服务器防暴毙指南"!
---
一、为什么说用root玩VPS等于"裸奔上网"?
我处理过上百起服务器入侵案例中83%的受害者都是长期使用root账号!举个例子:去年有个做跨境电商的客户直接用root运行了来路不明的脚本文件——结果脚本里暗藏了`rm -rf /*`命令(全盘删除),直接导致数据库瞬间蒸发!
专业解读:
- root账户拥有系统最高权限(相当于Windows的Administrator)
- 黑客爆破成功可直接控制系统(改密码/删数据/装后门)
- 误操作风险极高(一个错位的空格都可能删库)
二、三步走创建安全的普通用户(附各系统命令)
步骤1:新建用户(以ubuntu为例)
```bash
Ubuntu/Debian系
sudo adduser workuser
CentOS/RedHat系
sudo useradd workuser
sudo passwd workuser
```
这里有个细节差异:`adduser`会交互式引导设置密码和基本信息(更适合新手),而`useradd`需要手动补全配置。
步骤2:赋予管理员权限
将用户加入sudo组
sudo usermod -aG sudo workuser
Ubuntu
sudo usermod -aG wheel workuser
CentOS
这相当于给普通员工发了一张"临时董事长工牌"——平时正常办公(普通权限),需要审批文件时出示工牌获得高级权限。
步骤3:测试切换用户
su - workuser
sudo apt update
验证sudo是否生效
看到能正常执行系统更新命令说明配置成功!
三、高级玩家必做的4项加固措施
1. 禁用root远程登录
修改SSH配置文件:
sudo nano /etc/ssh/sshd_config
找到`PermitRootLogin yes`改为`no`后重启服务:
sudo systemctl restart sshd
2. 密钥登录替代密码
生成密钥对:
ssh-keygen -t ed25519
上传公钥到服务器:
ssh-copy-id workuser@你的IP地址
3. 限制sudo权限范围
通过visudo精细控制:
workuser ALL=(ALL) NOPASSWD: /usr/bin/apt,/usr/bin/systemctl
这条规则允许workuser无需密码执行apt和systemctl命令。
4. 配置防火墙白名单
只开放必要端口:
sudo ufw allow 22/tcp
SSH端口
sudo ufw allow 80/tcp
HTTP
sudo ufw enable
四、避坑指南:新手最常踩的3个雷区
1. 忘记测试新用户就退出root
建议开两个终端窗口操作!曾经有学员关闭连接后发现新账号没配好导致彻底失联...
2. 滥用777文件权限
看到报错就给`chmod 777`?这等于把保险箱密码设为123456!正确的做法是:
精确授权给相应用户组
sudo chown -R workuser:workgroup /data
sudo chmod -R 750 /data
3. 所有业务都用同一个账号
推荐按职能划分账号体系:
- webadmin:管理网站服务
- dbadmin:专职数据库
- monitor:只读监控权限
五、终极安全方案推荐
对于生产环境服务器建议采用组合拳防护:
1. Fail2ban自动封禁暴力破解IP
2. Cloudflare Tunnel实现零端口暴露
3. Cockpit面板可视化监控
4. 定期做快照备份+异地存储
通过今天的内容你会发现:服务器安全不是买最贵的防护软件就行!从创建一个普通账户开始培养良好的运维习惯才是王道。记住——在网络安全的世界里,"怕麻烦"才是最危险的心态!
TAG:vps 创建普通用户,vps注册账号,vps 自建,vps建站教程,如何创建vps卡尔云官网
www.kaeryun.com
上一篇