如果你刚买了一台VPS（虚拟专用服务器），准备搭网站、跑程序或者做数据存储——先别急着搞业务！VPS被黑的风险远比你想象的高：黑客批量扫描全网IP爆破密码、利用漏洞植入木马、甚至勒索加密你的数据... 我见过太多人因为忽视基础防护，“服务器上线3天就被攻破”。今天就用大白话+真实案例告诉你：从零开始做好VPS安全的8个核心步骤！

---

一、【基础防线】改掉默认设置：90%的攻击都能防住

为什么重要？

黑客手里有全网IP数据库和自动化工具（比如Hydra），专门扫22号端口的SSH服务尝试弱密码登录（admin/123456这种）。不改默认配置就像家门不锁还贴了张纸条：“钥匙在垫子底下”。

具体操作：

1. 改SSH端口：把默认22改成1024-65535之间的冷门数字（比如58234）。

```bash

sudo nano /etc/ssh/sshd_config

找到Port 22这行改成新端口

sudo systemctl restart sshd

重启生效

```

2. 禁用root直接登录：创建一个普通用户（比如admin），禁止root远程连接。

PermitRootLogin no

配置文件里加上这句

3. 强制密钥登录：用SSH密钥替代密码（相当于物理钥匙比密码更安全）。

ssh-keygen -t ed25519

本地生成密钥对

ssh-copy-id -p 58234 admin@你的IP

上传公钥到服务器

二、【防火墙】只开必要的门：关掉99%的潜在风险

很多新手装完系统直接开80/443端口做网站——结果忘了关数据库端口（3306）、Redis（6379）等敏感服务被暴破入侵。（*真实案例：某公司Redis未设密码被写入挖矿脚本*）

解决方案：

- UFW防火墙一键配置（适合新手）：

```bash

sudo ufw allow 58234/tcp

放行自定义SSH端口

sudo ufw allow 80/tcp

HTTP

sudo ufw allow 443/tcp

HTTPS

sudo ufw enable

启动防火墙

```

- 进阶玩家用iptables细化规则：比如限制某个端口只允许特定IP访问。

三、【系统更新】补丁就是防弹衣：别让漏洞坑了你

还记得2021年的Log4j漏洞吗？攻击者只要发一条特定请求就能控制服务器！虽然大厂商能快速修复补丁——但如果你从不更新系统... （*真实案例：某电商因未打补丁被植入后门盗取支付信息*）

养成习惯：

```bash

sudo apt update && sudo apt upgrade -y

Debian/Ubuntu系

sudo yum update -y

CentOS系

```

✅ 建议设置自动更新（尤其生产环境）：

sudo apt install unattended-upgrades

Ubuntu自动更新工具

四、【入侵检测】装个“警报器”：Fail2ban防暴力破解

哪怕改了SSH端口也可能被扫到——Fail2ban能自动封禁多次尝试失败的IP。（*原理类似银行输错3次密码锁卡*）

安装配置：

sudo apt install fail2ban -y

Debian/Ubuntu安装命令

sudo systemctl start fail2ban

CentOS用yum安装后启动

自定义规则示例（封禁1小时内失败5次的IP）：

echo "[sshd]

enabled = true

port = your_ssh_port

填你改后的SSH端口号！

maxretry =5

最多试错次数

findtime =3600

统计时间窗口(秒)" | sudo tee /etc/fail2ban/jail.local

sudo systemctl restart fail2ban

重启生效

五、【权限管理】最小化原则：别给黑客留后门

很多人喜欢给所有文件设777权限（谁都能读写执行）——这就好比把保险柜密码贴在柜门上！

✅ 正确做法：

- Web目录权限设为755（所有者可写、其他人只读）：

```bash

chmod -R755 /var/www/html

- MySQL等服务不要用root运行！单独创建低权限用户：

```sql

CREATE USER 'app_user'@'localhost' IDENTIFIED BY '强密码';

GRANT SELECT,INSERT ON dbname.* TO 'app_user'@'localhost';

六、【备份与恢复】最后的救命稻草

假设真被黑了怎么办？有备份就能快速回滚！但很多人直到数据丢失才后悔...

✅ 推荐方案：

1. 本地+异地双备份（比如服务器备份到本地电脑+另一台VPS）

2. 自动化工具省心省力：

- `rsync`增量同步文件

```bash

rsync -avz /重要目录 user@备份IP:/backup_folder

```

- `BorgBackup`支持加密压缩

七、【监控预警】实时掌握服务器状态

攻击往往发生在深夜——装个监控能让你及时收到报警短信！

✅ 常用工具组合：

- 基础版：`top`+`htop`看实时资源占用

- 进阶版：

- `Prometheus`+`Grafana`监控CPU/内存/流量

- `Logwatch`每日发送日志摘要邮件

【终极建议】安全意识比工具更重要！

再好的锁也防不住钥匙乱丢——曾有用户把SSH私钥上传到GitHub公开仓库导致服务器沦陷... *定期审计账户、敏感操作二次验证、不用未知来源脚本*才是根本！

TAG:vps安全防护,vps关闭防火墙命令,vps安全设置,vps 安全,vps安全策略在哪