购买搬瓦工 VPS 之后如何开始使用您的新 VPS？必要更新和安全设置

这篇文章讨论了我在新服务器上采取的第一步。这些步骤在 VPS 上应该与在专用服务器上相同。除了 Debian 之外，其他操作系统的步骤实质也应该是相同的，尽管命令会有所不同，因为不同的发行版使用不同的软件包系统。

这篇文章假设您的本地计算机上有一个工作的 ssh 客户端，并且您的 ssh 公钥已在服务器由提供商配置时安装在您的服务器上。

让我们开始吧！

记下基本信息

搬瓦工的电子邮件包含有关服务器的基本信息，例如 IPv4 地址、订单号和日期、服务器编号、服务器的数据中心位置以及主机密钥指纹等。

我喜欢复制每台服务器的基本信息，并将其保存在笔记本电脑主目录中的一个文件中。

更新操作系统

我在服务器上做的第一件事就是更新操作系统。 更新需要放在第一位，因为如果对本地配置进行了更改，然后更新想要更改配置文件，那么其他任何事情都会变得混乱。

root@Debian-1101-bullseye-amd64-base ~ # apt-get update
Get:1 http://deb.debian.org/debian bullseye InRelease [116 kB]
Get:2 http://security.debian.org/debian-security bullseye-security InRelease [44.1 kB]
Get:3 http://deb.debian.org/debian bullseye-updates InRelease [39.4 kB]
Get:4 http://mirror.hetzner.com/debian/packages bullseye InRelease [116 kB]
Get:5 http://security.debian.org/debian-security bullseye-security/main amd64 Packages [154 kB]

[ . . . ]

Get:32 http://mirror.hetzner.com/debian/security bullseye-security/main amd64 Packages [154 kB]
Get:33 http://mirror.hetzner.com/debian/security bullseye-security/main Translation-en [96.3 kB]
Fetched 30.9 MB in 3s (9,792 kB/s)
Reading package lists... Done
root@Debian-1101-bullseye-amd64-base ~ # apt-get upgrade
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
The following packages have been kept back:
linux-image-amd64
The following packages will be upgraded:
base-files bind9-dnsutils bind9-host bind9-libs bsdextrautils bsdutils
cryptsetup cryptsetup-bin cryptsetup-initramfs curl distro-info-data dpkg
fdisk gpgv gzip intel-microcode libblkid1 libc-bin libc-l10n libc6
libcryptsetup12 libcurl3-gnutls libcurl4 libexpat1 libfdisk1 libgmp10
libldap-2.4-2 libldap-common liblzma5 libmount1 libnss-systemd libpam-systemd
libsasl2-2 libsasl2-modules libsasl2-modules-db libseccomp2 libsmartcols1
libssl1.1 libsystemd0 libudev1 libuuid1 libxml2 locales mount openssl
publicsuffix rsyslog systemd systemd-sysv systemd-timesyncd sysvinit-utils
task-english task-ssh-server tasksel tasksel-data tzdata udev util-linux
util-linux-locales vim-common vim-tiny wget xxd xz-utils zlib1g
65 upgraded, 0 newly installed, 0 to remove and 1 not upgraded.
Need to get 39.2 MB of archives.
After this operation, 16.4 kB disk space will be freed.
Do you want to continue? [Y/n] Y
[ . . . ]

安全性——配置 SSHD

对我来说，第二步是安全。我喜欢进入 /etc/ssh 目录并编辑 sshd 配置。我首先制作由 Debian 安装程序安装和更新的原始配置文件 /etc/ssh/sshd_config 的备份副本。能够恢复总是一个好主意。

root@Debian-1101-bullseye-amd64-base ~ #
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config~

然后我编辑 /etc/ssh/sshd_config。通常我将默认端口设置从 22 更改为一些高端口，例如 17800。我还喜欢禁用密码身份验证。

将默认端口设置从 22 更改为其他设置并禁用密码身份验证是避免数以千计的 ssh 密码破解尝试的最简单方法。

以下是对 /etc/ssh/sshd_config 的更改：

root@Debian-1101-bullseye-amd64-base ~ # cat /etc/ssh/sshd_config

[ . . . ]

Port 17800

[ . . . ]

PermitRootLogin prohibit-password

[ . . . ]

PasswordAuthentication no

[ . . . ]

请记住在更改 sshd_config 文件后重新启动 sshd。如果您不重新启动 sshd，您的更改将在下次重新启动后才会生效。

root@Debian-1101-bullseye-amd64-base ~ # systemctl restart sshd

完成重新启动 sshd 后，最好保留现有的本地 ssh 连接到服务器并尝试从不同的终端窗口再次登录。重新启动 sshd 不会断开您现有的连接。如果你发现你无法从第二个终端窗口进入，你仍然可以使用第一个窗口来调试你的错误。这比被锁定并需要重新安装要好得多。

此外，我通常会尝试从缺少所需本地 ssh 密钥的帐户登录。此测试是一种确保密码登录已被禁用的方法。如果服务器不要求我输入密码，那么服务器将不会响应所有密码破解。在更改 ssh 端口并禁用密码登录后，服务器的访问日志通常会变得更加平静。

搬瓦工优惠套餐

搬瓦工最推荐套餐

1. 搬瓦工优惠码：BWHCGLUKKB
2. 搬瓦工购买教程：《搬瓦工新手用户注册和支付宝购买图文指导教程》

选择建议：

• 入门：洛杉矶 CN2 套餐，目前最便宜，可选 DC3 CN2/DC8 ZNET 等机房，CN2 GT 线路，入门之选。
• 推荐：洛杉矶 CN2 GIA-E 套餐，速度超快，可选 DC6 CN2 GIA-E/DC9 CN2 GIA/日本软银 JPOS_1/联通荷兰 EUNL_9 等机房，性价比最高。
• 高端：香港 CN2 GIA 套餐/东京 CN2 GIA 套餐，价格较高，但是速度、延迟、丢包等方面无可挑剔。

搬瓦工补货通知

• 搬瓦工补货通知 QQ 群 8（全员禁言，仅发送通知）：697178487
• 搬瓦工补货通知 QQ 群 9（全员禁言，仅发送通知）：554576821
• 搬瓦工补货通知 QQ 群 10（全员禁言，仅发送通知）：451796455
• 搬瓦工补货通知 TG 群：@BandwagonHostNews
• 搬瓦工补货通知邮件订阅 1：点击订阅（Google Groups）
• 搬瓦工补货通知邮件订阅 2：点击此处提交邮箱地址