服务器不是“买完就安全”,而是刚装完最危险
很多新手都有一个误区:
系统装好了 = 可以开始用了。
但真实情况恰恰相反。
我见过最多被扫、被爆破、被塞挖矿脚本的服务器,都是刚装完系统、什么都没动的那种。
原因很简单:
公网 IP + 默认端口 + 默认配置 = 扫描器的最爱。
下面这 5 个操作,不是优化,是保命操作。
你哪怕只跑个博客、测试项目,也一定要做。
一、第一件事:立刻改掉默认登录密码
这是所有安全操作里的第一优先级。
为什么危险?
- 新装系统的 root 密码,极容易被暴力破解
- 自动扫描器 24 小时在扫 22 端口
- 你服务器刚上线的前 24 小时,反而最容易被盯上
具体怎么做(连上服务器后直接敲)
如果你是 root 用户:
passwd
系统会让你输入两次新密码。
密码建议:
- 至少 12 位
- 包含大小写字母 + 数字
- 不要用生日、手机号、服务器 IP
这一步 30 秒,但能挡掉 80% 的低级攻击。
二、第二件事:关闭 root 远程登录
只改密码还不够,root 这个用户名本身就是攻击目标。
正确做法:新建普通用户 + sudo
1)创建新用户(以 username 为例)
adduser username
按提示设置密码即可。
2)赋予 sudo 权限
usermod -aG sudo username
3)测试新用户是否能用
su - username
sudo ls
确认没问题后,再动 root。
三、第三件事:禁止 root SSH 登录
这一步能极大降低被爆破概率。
修改 SSH 配置文件
nano /etc/ssh/sshd_config
找到这一行(没有就自己加):
PermitRootLogin no
同时确认:
PasswordAuthentication yes
保存退出后,重启 SSH 服务:
systemctl restart ssh
⚠️ 重要提醒
一定要先确认你能用新用户登录成功,再禁 root,不然容易把自己锁在门外。
四、第四件事:关掉没用的端口,只留必要的
很多人服务器“什么都没装”,
结果一查端口,开了一堆自己都不知道干嘛的。
查看当前监听端口
ss -tuln
你至少应该只看到:
- 22(SSH)
- 80 / 443(如果你有网站)
防火墙直接用 UFW(新手最友好)
1)启用防火墙
ufw enable
2)放行必要端口
ufw allow 22
ufw allow 80
ufw allow 443
3)查看规则状态
ufw status
如果你用的是面板或特殊服务,记得先放行端口再启防火墙。
五、第五件事:立刻更新系统
新系统 ≠ 没漏洞
很多系统镜像,本身就已经落后几个安全补丁。
Ubuntu / Debian
apt update && apt upgrade -y
CentOS / Alma / Rocky
dnf update -y
这一步经常被忽略,但很多已知漏洞,官方早就修好了,只是你没更新。
六、核心操作速查表
| 操作项 | 是否必须 | 主要作用 | 不做的风险 |
|---|---|---|---|
| 修改默认密码 | 必须 | 防止暴力破解 | 被扫到直接进服务器 |
| 新建普通用户 | 强烈建议 | 降低 root 风险 | root 被爆直接全盘失守 |
| 禁止 root 登录 | 强烈建议 | 阻断扫描器 | root 成为固定攻击目标 |
| 配置防火墙 | 必须 | 只开放必要端口 | 后门服务暴露公网 |
| 系统更新 | 必须 | 修补已知漏洞 | 被利用老漏洞入侵 |
新手常见但很关键的问题
Q1:我只是测试用服务器,也要做这么多吗?
要。攻击者不在乎你是不是测试,只在乎你是不是“好下手”。
Q2:不开防火墙,只靠复杂密码行不行?
不推荐。端口暴露本身就是风险,防火墙是最低成本的保护。
Q3:我装了宝塔/1Panel,还需要这些操作吗?
需要。面板是应用层,这些是系统层,两个不是一回事。
Q4:关了 root 登录,会不会以后不好维护?
不会。用 sudo 操作反而更安全,也更符合正常运维习惯。
Q5:做完这些,就不会被黑了吗?
没有“绝对安全”,但至少能挡住大部分自动化攻击和低成本入侵。
服务器安全不是高级技巧,是基本功
很多人服务器出问题后才开始补安全,
但真正省心的方式,是一开始就把门锁好。
这 5 步你只要花 10 分钟做完,
服务器被“随便扫进来”的概率,会直接降一个级别。
