购买搬瓦工VPS后,不要急着部署应用,先花20分钟完成以下初始化配置。这些设置涵盖安全加固和性能优化,一次配置好可以长期受益。本文以 Ubuntu/Debian 系统为主,CentOS 命令在需要时会标注。
Tip: 首次登录VPS的方法请参考购买后如何登录和管理VPS。以下操作均以 root 用户SSH登录后执行。
新VPS的系统可能不是最新版本,首先更新所有已安装的软件包。
# Ubuntu/Debian apt update && apt upgrade -y # CentOS yum update -y
更新完成后建议重启一次:reboot。重启后重新SSH连接。
长期使用 root 用户操作有安全风险,建议创建一个普通用户用于日常操作。
# 创建用户 useradd -m -s /bin/bash myuser # 设置密码 passwd myuser # 添加sudo权限 # Ubuntu/Debian usermod -aG sudo myuser # CentOS usermod -aG wheel myuser
验证sudo是否生效:切换到新用户 su - myuser,执行 sudo whoami,应输出 root。详细的用户权限管理参考Linux用户与权限管理教程。
SSH密钥登录比密码更安全,配置后可以禁用密码登录。
在本地电脑生成密钥对(如果已有可跳过):
# 在本地电脑(Mac/Linux)执行 ssh-keygen -t ed25519 -C "your_email@example.com" # Windows用户可使用PuTTYgen或在PowerShell中执行同样命令
将公钥上传到VPS:
# 方法一:使用ssh-copy-id(推荐) ssh-copy-id myuser@your_vps_ip # 方法二:手动复制 # 在VPS上以myuser身份执行 mkdir -p ~/.ssh chmod 700 ~/.ssh # 将本地 ~/.ssh/id_ed25519.pub 的内容粘贴到以下文件 vim ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys
修改SSH配置(加固安全):
vim /etc/ssh/sshd_config
修改以下配置项:
# 更改默认端口(避免暴力破解扫描) Port 22222 # 禁止root直接登录 PermitRootLogin no # 禁用密码登录(确保密钥登录正常后再开启) PasswordAuthentication no # 禁止空密码 PermitEmptyPasswords no
重启SSH服务使配置生效:
systemctl restart sshd
注意:修改SSH端口和禁用密码前,务必先确认密钥登录可以正常连接,否则可能会锁在VPS外面。如果被锁,可通过搬瓦工KiwiVM面板的Root Shell功能恢复。
Ubuntu/Debian(使用 ufw):
# 安装ufw(通常已预装) apt install ufw -y # 设置默认策略 ufw default deny incoming ufw default allow outgoing # 放行SSH端口(使用你修改后的端口) ufw allow 22222/tcp # 放行Web端口 ufw allow 80/tcp ufw allow 443/tcp # 启用防火墙 ufw enable # 查看规则 ufw status verbose
CentOS(使用 firewalld):
# 放行端口 firewall-cmd --permanent --add-port=22222/tcp firewall-cmd --permanent --add-service=http firewall-cmd --permanent --add-service=https # 重新加载 firewall-cmd --reload # 查看规则 firewall-cmd --list-all
搬瓦工小内存方案(512MB/1GB)建议配置Swap,避免内存不足时进程被杀。
# 检查是否已有Swap free -h # 创建2GB的Swap文件 fallocate -l 2G /swapfile chmod 600 /swapfile mkswap /swapfile swapon /swapfile # 设置开机自动挂载 echo '/swapfile none swap sw 0 0' >> /etc/fstab # 调整Swap使用倾向(值越小越倾向使用物理内存) echo 'vm.swappiness=10' >> /etc/sysctl.conf sysctl -p # 验证 free -h
Swap大小建议:512MB内存设置1GB Swap,1GB内存设置2GB Swap,2GB以上内存设置与内存等量即可。
BBR 是 Google 开发的TCP拥塞控制算法,可以显著提升网络传输速度。Linux 4.9+ 内核已内置BBR。
# 检查当前内核版本(需4.9以上) uname -r # 开启BBR echo 'net.core.default_qdisc=fq' >> /etc/sysctl.conf echo 'net.ipv4.tcp_congestion_control=bbr' >> /etc/sysctl.conf sysctl -p # 验证BBR是否生效 sysctl net.ipv4.tcp_congestion_control # 输出应为: net.ipv4.tcp_congestion_control = bbr lsmod | grep bbr # 应能看到 tcp_bbr 模块
搬瓦工KiwiVM面板也提供一键开启BBR的功能,效果相同。更多关于BBR的信息可参考BBR加速教程。
搬瓦工VPS默认时区可能是UTC,建议设置为你所在的时区,方便查看日志和管理定时任务。
# 查看当前时区 timedatectl # 设置为北京时间 timedatectl set-timezone Asia/Shanghai # 验证 date
给VPS设置一个有意义的主机名,方便在多台服务器间区分。
# 设置主机名 hostnamectl set-hostname myserver # 验证 hostname
完成以上步骤后,用以下清单确认所有配置:
| 检查项 | 验证命令 | 预期结果 |
|---|---|---|
| 系统已更新 | apt list --upgradable | 无可更新的包 |
| 普通用户已创建 | id myuser | 显示用户信息 |
| sudo权限正常 | sudo whoami(以myuser) | 输出 root |
| SSH密钥登录 | 用密钥连接测试 | 无需密码即可登录 |
| SSH端口已修改 | ss -tlnp | grep ssh | 监听在新端口 |
| 防火墙已启用 | ufw status | Status: active |
| Swap已配置 | free -h | 显示Swap大小 |
| BBR已开启 | sysctl net.ipv4.tcp_congestion_control | bbr |
| 时区已设置 | timedatectl | Asia/Shanghai |
| 主机名已设置 | hostname | 显示你设置的名称 |
完成以上全部配置后,VPS就处于一个安全、高效的初始状态了。接下来可以根据需要部署Web服务器、数据库等应用。
Tip: 购买搬瓦工VPS时使用优惠码 NODESEEK2026 可享 6.77% 折扣,详见优惠码使用教程。方案汇总见搬瓦工全部在售方案。