新服务器必做的几件事:
更新系统补丁
注意:若显示类图像界面要求选择是否更新当前配置,选择保留旧的配置(防止更新后,当前登录被禁用)
# Ubuntu/Debian 系统 apt update && apt upgrade -y # CentOS/AlmaLinux/Rocky 系统 dnf upgrade -y禁用password登录,改用private key登录(杜绝暴力破解)
本地生成密钥
id_vps_2026为密钥名称,ed25519是加密算法
ssh-keygen -t ed25519 -f ~/.ssh/id_vps_2026 -C "my_new_vps"将公钥上传至服务器
ssh-copy-id -i ~/.ssh/id_vps_2026.pub root@你的服务器IP编辑 SSH 配置文件:
nano /etc/ssh/sshd_config修改以下关键项(如果前面有
#号记得删掉):找到
PasswordAuthentication,将其改为no:PasswordAuthentication no找到
PubkeyAuthentication,确保是yes:PubkeyAuthentication yes保存并退出: 按
Ctrl + O,回车保存,再按Ctrl + X退出。重启 SSH 服务使设置生效:
⚠️注意:重启后不要关闭当前当前会话,新建ssh会话测试修改是否生效。
启用ufw防火墙,禁用所有端口,放行80,443。
# 安装 UFW apt install ufw -y # 设置默认规则 ufw default deny incoming ufw default allow outgoing # 放行必要端口(务必包含你的 SSH 端口!) ufw allow 80/tcp ufw allow 443/tcp # 开启防火墙 ufw enable开启 BBR 加速
优化 TCP 拥塞控制,提升高延迟网络下的传输速度。
# 写入配置 echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf # 生效配置 sysctl -p # 检查是否成功开启(输出包含 bbr 即可) lsmod | grep bbr更改ssh端口(降低恶意扫描可能)
先放行新的ssh端口
ufw allow 56789/tcp ufw reload编辑 SSH 配置文件:
nano /etc/ssh/sshd_config
找到Port,加上Port 56789(这里是新的ssh端口),执行service ssh restart重启ssh服务后,再使用新的端口进行ssh会话(原会话不要关),如成功与新端口建立ssh会话,则可以再次使用nano /etc/ssh/sshd_config,编辑ssh配置文件,删除Port 22。
