新机到手第一个小时必做清单

拿到一台新 VPS 就像拿到一套毛坯房。下面 10 步，按顺序做完，耗时约 40-60 分钟。

1. 更新系统（必做，5分钟）

apt update && apt upgrade -y

把系统软件包更新到最新，修复已知漏洞。

2. 创建普通用户（必做，2分钟）

adduser yourname
usermod -aG sudo yourname

日常操作用普通用户，避免误操作。需要权限时用 sudo。

3. 配置 SSH 密钥登录（强烈推荐，5分钟）

# 在本地电脑生成密钥对
ssh-keygen -t ed25519 -C "your-email"

# 把公钥复制到 VPS
ssh-copy-id yourname@你的IP

密钥登录比密码安全百倍，且不用每次输密码。

4. 修改 SSH 端口（推荐，2分钟）

# 编辑 SSH 配置
nano /etc/ssh/sshd_config
# 找到 #Port 22，改成 Port 2222（或其他 1024-65535 之间的数字）
systemctl restart sshd

改端口不能防止专业攻击，但能过滤掉 99% 的扫描机器人。

5. 禁止 root SSH 登录（推荐）

nano /etc/ssh/sshd_config
# 找到 PermitRootLogin yes，改成 no
# 确保已有普通用户且能用 sudo 再执行这一步！

6. 安装并配置防火墙（必做）

apt install ufw -y
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp    # 你修改后的 SSH 端口
ufw allow 80/tcp      # HTTP
ufw allow 443/tcp     # HTTPS
ufw enable

7. 设置时区（推荐）

timedatectl set-timezone Asia/Shanghai

8. 开启 BBR 加速（强烈推荐）

echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
# 验证
sysctl net.ipv4.tcp_congestion_control
# 应输出: net.ipv4.tcp_congestion_control = bbr

9. 创建 Swap（内存小于 2G 时推荐）

fallocate -l 1G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo '/swapfile none swap sw 0 0' >> /etc/fstab

10. 安装 Fail2ban（强烈推荐）

apt install fail2ban -y
systemctl enable fail2ban --now

自动封禁暴力破解 SSH 的 IP。

完成检查

这 10 步做完，你的 VPS 已经从"裸机"变成"基本安全"的状态。接下来可以愉快地装 Docker、搭网站、或者配代理了。