Linode VPS 初始安全配置:从零开始加固服务器

· LinodeLinux教程

Linode VPS 安全配置

新开通的 Linode VPS 就像一栋刚建好的房子——门窗都是敞开的。在部署任何应用之前,你必须先完成基础安全配置。本教程将指导你完成从首次登录到全面加固的完整流程。

省心方案: 通过 iVPSer 开通的 Linux 服务器,默认已安装 BBR 加速和宝塔面板(可选),并预配置了基础安全策略。如果你希望跳过本文的手动配置,可以直接使用 iVPSer 开通,开箱即用。

第一步:首次 SSH 登录并更新系统

ssh root@你的服务器IP

登录后立即更新系统软件包:

apt update && apt upgrade -y

如果提示需要重启:

reboot

第二步:设置主机名

hostnamectl set-hostname your-hostname
echo "127.0.0.1 your-hostname" >> /etc/hosts

第三步:创建普通用户

长期使用 root 账户非常危险,创建普通用户用于日常操作:

adduser deploy
usermod -aG sudo deploy

验证 sudo 权限:

su - deploy
sudo whoami
# 应输出: root

第四步:配置 SSH 密钥登录

在本地生成密钥(如果还没有):

ssh-keygen -t ed25519 -C "your_email@example.com"

将公钥上传到服务器:

ssh-copy-id deploy@你的服务器IP

或者手动复制:

# 在服务器上以 deploy 用户执行
mkdir -p ~/.ssh && chmod 700 ~/.ssh
nano ~/.ssh/authorized_keys
# 粘贴公钥内容
chmod 600 ~/.ssh/authorized_keys

第五步:加固 SSH 配置

编辑 SSH 配置文件:

sudo nano /etc/ssh/sshd_config

修改以下关键配置:

PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no
AllowUsers deploy

警告:禁用密码登录前,务必确认密钥登录已测试通过!

重启 SSH 并用新终端测试:

sudo systemctl restart sshd

第六步:配置 UFW 防火墙

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status verbose

UFW 防火墙状态

第七步:安装 Fail2Ban

Fail2Ban 可以自动封禁多次登录失败的 IP:

sudo apt install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

修改 [sshd] 部分:

[sshd]
enabled = true
port = ssh
maxretry = 3
bantime = 3600
findtime = 600

启动服务:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo fail2ban-client status sshd

第八步:自动更新与时区

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades
sudo timedatectl set-timezone Asia/Shanghai

安全加固检查清单

开通 Linode 的最简单方式

对于国内用户,直接在 Linode 官网操作可能会遇到以下问题:

iVPSer 自助开通平台 完美解决了这些痛点:

👉 立即前往开通

参考链接