md5.pw - 用户贡献 [zh]

搬瓦工VPS首次登录清单（基本安全加固及初始化步骤）

2026-03-22T03:47:25Z

Dai：

这篇文章的内容面向新手的详尽指南，手把手带你完成VPS的最核心初始化工作。我们会直接提供经过实战检验的、最简洁的命令行操作步骤来帮你完成首次登录需要完成的事情。
----

== 第一阶段：进入系统与基础环境更新 ==
在我们开始之前，首先要确保系统本身是最新的，没有已知的安全漏洞。本教程以目前最适合新手、社区生态较好的 '''Ubuntu / Debian''' 系统为例。

== 1. 首次 SSH 连接 ==

* 在本地电脑上打开终端（Windows 可以使用 PowerShell 或 CMD，macOS 使用 Terminal），输入以下命令并回车：

ssh root@你的VPS_IP地址</code>
如果是首次连接，系统会弹出一长串关于指纹（ECDSA key fingerprint）的警告，这是正常的安全机制。输入 <code>yes</code> 并回车，随后输入你的Root密码（注意，Linux环境下输入密码时屏幕不会显示任何字符，盲打完毕后直接回车即可）

* 也可以通过其他的'''第三方SSH软件'''（Finallshell、putty、Termius或Xshell）直接输入主机IP+端口，还有用户名和密码然后直接登陆就可以。[[File:48440.png|center|thumb|1000x1000px]]

== 2. 更新软件包列表与升级系统 ==
成功登入后，第一件事就是更新操作系统的软件源和已安装的软件包。这就像是给你的手机系统打最新的安全补丁。
apt '''update''' && apt upgrade -y</code>
[[File:48441.png|center|thumb|1000x1000px]]

* <code>apt update</code>：从服务器获取最新的软件列表。
* <code>apt upgrade -y</code>：根据最新的列表，将系统中所有老旧的软件升级到最新版本。<code>-y</code> 表示在升级过程中自动回答“yes”，无需人工干预。

----

== 第二阶段：更改SSH端口 - 拒绝非法入侵 ==
默认的SSH端口是 <code>22</code>，这是全网扫描机器人最喜欢光顾的地方。修改端口并启用密钥登录，能帮你屏蔽99.9%的自动化攻击。
== 1. 修改默认 SSH 端口 ==
我们需要编辑SSH的配置文件。这里使用系统自带的 <code>nano</code> 文本编辑器。
nano /etc/ssh/sshd_config

使用键盘方向键向下滚动，找到被注释掉的这一行：<code>#Port 22</code>。将其修改为一个不常用的端口号（建议在 10000 到 65000 之间），例如我们改为 48862。请去掉前面的 <code>#</code> 号：
'''Port''' 48862
[[File:48442.png|center|thumb|1000x1000px]]
修改完成后，按下 <code>Ctrl + O</code> 保存，回车确认，然后按下 <code>Ctrl + X</code> 退出编辑器。

'''重启SSH服务以使配置生效：'''
systemctl restart sshd
[[File:48443.png|center|thumb|1000x1000px]]
⚠️ '''警告：''' 重启服务后，千万不要关闭当前的SSH窗口！请立刻打开一个全新的终端窗口，使用新端口测试是否能成功连接： <code>ssh -p 48862 root@你的VPS_IP地址</code> 如果新窗口能成功连上，你才可以安全地关闭旧窗口。如果连不上，你还可以在旧窗口中把配置改回来，避免自己被锁在外面。

== 2. 进一步防御：配置 SSH 密钥登录 ==
密码可能会被暴力破解，但长达几千位的非对称密钥则在算力上坚不可摧。我们需要在本地电脑生成一对钥匙（公钥和私钥），然后把公钥放在VPS上，私钥留在本地。

'''在你的本地电脑终端（不是VPS上）执行：'''
ssh-keygen -t ed25519 -C "my_vps_key"</code>
[[File:48444.png|center|thumb|970x970px]]
* <code>ed25519</code> 是目前极力推荐的加密算法，比传统的RSA更安全且更快速。一路回车即可（默认会保存在本地的 <code>~/.ssh/id_ed25519</code> 文件中）。[[File:48445.png|center|thumb|970x970px]]

'''将公钥传输到VPS：'''

* '''如果你的本地是 Mac/Linux:'''

ssh-copy-id -p 28492 root@你的VPS_IP地址<br />
* '''如果你的本地是 Windows:''' 你需要手动将本地 <code>C:\Users\你的用户名\.ssh\id_ed25519.pub</code> 文件里面的那一长串文本复制下来。然后回到 VPS的终端，执行以下命令将公钥粘贴进去：

mkdir -p ~/.ssh
nano ~/.ssh/authorized_keys</code>
[[File:48446.png|center|thumb|1000x1000px]]
* 将复制的公钥文本粘贴进去，<code>Ctrl + O</code> 保存，<code>Ctrl + X</code> 退出。接着设置极其严格的权限以确保安全：

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys</code>
[[File:48447.png|center|thumb|1000x1000px]]
'''关闭密码登录：''' 当你确认可以通过密钥免密码成功登录后，我们要彻底把密码登录的门焊死。再次编辑SSH配置：
nano /etc/ssh/sshd_config</code>
[[File:48448.png|center|thumb|1000x1000px]]
找到 <code>PasswordAuthentication</code>，将其修改为 <code>no</code>：
'''PasswordAuthentication''' no</code>
保存并退出，再次重启SSH服务：<code>systemctl restart sshd</code>。至此，你的服务器已经变成了铜墙铁壁。
----

== 第三阶段：部署 UFW 系统级防火墙 ==
即使修改了SSH端口，如果后续你安装了其他软件暴露了不必要的端口，依然存在风险。我们需要一个防火墙来实行“白名单”制度：除了我允许的，其他一律拦截。

Ubuntu/Debian 推荐使用 <code>ufw</code> (Uncomplicated Firewall)。

== 1. 安装与配置基础规则 ==
apt '''install''' ufw -y</code>
首先，设定默认规则：拒绝所有外部主动连接进来的请求，允许所有服务器内部向外发送的请求。
ufw default deny incoming
ufw default allow outgoing</code>

== 2. 放行必要的端口 ==
'''这是最关键的一步，必须先放行你刚刚修改的SSH端口，否则一旦启用防火墙，你就会立刻失联！'''
'''ufw''' allow 48862/tcp
如果你未来打算运行一些个人工具（例如通过容器部署探针、笔记软件等），并希望通过 <code><nowiki>http://你的IP:端口</nowiki></code> 的形式最直接、最纯净地访问它们，你可以在此时或者未来放行对应的端口。例如，放行常用的 80、443 以及一个自定义的 3001 端口：
'''ufw''' allow 80/tcp
'''ufw''' allow 443/tcp
'''ufw''' allow 3001/tcp</code>

== 3. 启用防火墙 ==
确认SSH端口已放行后，启动防火墙：
ufw enable</code>
系统会提示这可能会中断当前的SSH连接，输入 <code>y</code> 确认。查看当前防火墙状态和放行列表：
'''ufw status'''
----

== 第四阶段：网络基建与性能优化 ==
为了让你的服务器与外界的通信更加顺畅，特别是应对高延迟、容易丢包的跨国网络环境，我们需要开启一项内核级的网络优化技术。

== 开启 BBR 拥塞控制算法 ==
BBR（Bottleneck Bandwidth and Round-trip propagation time）是 Google 开发的一种网络拥塞控制算法，能显著提升网络的吞吐量并降低延迟。现代的Linux内核（4.9以上）已经原生集成了该模块。

直接修改系统配置文件：
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf</code>
应用并使其立即生效：
sysctl -'''p'''</code>
验证 BBR 是否成功开启：
lsmod | grep bbr</code>
如果输出结果中包含 <code>tcp_bbr</code> 字样，说明配置已大功告成。此时你的服务器网络传输能力已经得到了极大的释放。
[[File:48450.png|center|thumb|1000x1000px]]
----

== 第五阶段：时区校准与基础工具包 ==
最后，为了方便后续的日常维护和问题排查，我们需要将服务器时间调整到本地时区，并安装一些不可或缺的系统工具。

== 1. 设置系统时区 ==
如果你的VPS位于海外，默认时间通常是UTC时间。为了在看系统日志、设置定时任务（Cron）时不会因为时差产生混乱，建议将其修改为你所在的时区（例如北京时间）：
timedatectl set-timezone Asia/Shanghai</code>
输入 <code>date</code> 命令即可查看当前时间是否已正确更改。
[[File:48449.png|center|thumb|1000x1000px]]

== 2. 安装必备的运维兵器 ==
把这些轻量级的工具备齐，以后遇到任何问题都能游刃有余地排查：
apt install curl wget htop tmux net-tools -y</code>

* '''curl & wget:''' 命令行下的网络下载神器，几乎所有的一键安装脚本都要依赖它们。
* '''htop:''' 强化版的任务管理器。输入 <code>htop</code>，你可以直观地看到每个CPU核心的负载、内存占用以及到底是谁在消耗系统资源。
* '''tmux:''' 终端复用大师。当你需要执行一个耗时极长的任务时（比如编译安装），在 <code>tmux</code> 窗口里运行，即使你不小心关闭了本地电脑的SSH软件，任务依然会在服务器后台安全地执行。

----

== 结语 ==
至此，你的VPS已经从一个 '''什么都没有的状态''' 变成了一个'''兼具高安全性与高性能的“精装堡垒”'''。它不仅抵御了潜伏在暗处的恶意扫描，也为未来部署各类纯粹、高效的后端服务打下了最坚实的基础。

搬瓦工VPS首次登录清单（基本安全加固及初始化步骤）

2026-03-21T05:35:17Z

Dai：搬瓦工VPS首次登录清单（基本安全加固及初始化步骤）

这篇文章的内容面向新手的详尽指南，手把手带你完成VPS的最核心初始化工作。我们会直接提供经过实战检验的、最简洁的命令行操作步骤来帮你完成首次登录需要完成的事情。
----

== 第一阶段：进入系统与基础环境更新 ==
在我们开始之前，首先要确保系统本身是最新的，没有已知的安全漏洞。本教程以目前最适合新手、社区生态较好的 '''Ubuntu / Debian''' 系统为例。

== 1. 首次 SSH 连接 ==

* 在本地电脑上打开终端（Windows 可以使用 PowerShell 或 CMD，macOS 使用 Terminal），输入以下命令并回车：

ssh root@你的VPS_IP地址</code>
如果是首次连接，系统会弹出一长串关于指纹（ECDSA key fingerprint）的警告，这是正常的安全机制。输入 <code>yes</code> 并回车，随后输入你的Root密码（注意，Linux环境下输入密码时屏幕不会显示任何字符，盲打完毕后直接回车即可）

* 也可以通过其他的'''第三方SSH软件'''（Finallshell、putty、Termius或Xshell）直接输入主机IP+端口，还有用户名和密码然后直接登陆就可以。[[File:48440.png|center|thumb|1000x1000px]]

== 2. 更新软件包列表与升级系统 ==
成功登入后，第一件事就是更新操作系统的软件源和已安装的软件包。这就像是给你的手机系统打最新的安全补丁。
apt '''update''' && apt upgrade -y</code>

* <code>apt update</code>：从服务器获取最新的软件列表。
* <code>apt upgrade -y</code>：根据最新的列表，将系统中所有老旧的软件升级到最新版本。<code>-y</code> 表示在升级过程中自动回答“yes”，无需人工干预。

----

== 第二阶段：更改SSH端口 - 拒绝非法入侵 ==
默认的SSH端口是 <code>22</code>，这是全网扫描机器人最喜欢光顾的地方。修改端口并启用密钥登录，能帮你屏蔽99.9%的自动化攻击。
[[File:48441.png|center|thumb|1000x1000px]]

== 1. 修改默认 SSH 端口 ==
我们需要编辑SSH的配置文件。这里使用系统自带的 <code>nano</code> 文本编辑器。
nano /etc/ssh/sshd_config

使用键盘方向键向下滚动，找到被注释掉的这一行：<code>#Port 22</code>。将其修改为一个不常用的端口号（建议在 10000 到 65000 之间），例如我们改为 48862。请去掉前面的 <code>#</code> 号：
'''Port''' 48862
[[File:48442.png|center|thumb|1000x1000px]]
修改完成后，按下 <code>Ctrl + O</code> 保存，回车确认，然后按下 <code>Ctrl + X</code> 退出编辑器。

'''重启SSH服务以使配置生效：'''
systemctl restart sshd
[[File:48443.png|center|thumb|1000x1000px]]
⚠️ '''警告：''' 重启服务后，千万不要关闭当前的SSH窗口！请立刻打开一个全新的终端窗口，使用新端口测试是否能成功连接： <code>ssh -p 48862 root@你的VPS_IP地址</code> 如果新窗口能成功连上，你才可以安全地关闭旧窗口。如果连不上，你还可以在旧窗口中把配置改回来，避免自己被锁在外面。

== 2. 进一步防御：配置 SSH 密钥登录 ==
密码可能会被暴力破解，但长达几千位的非对称密钥则在算力上坚不可摧。我们需要在本地电脑生成一对钥匙（公钥和私钥），然后把公钥放在VPS上，私钥留在本地。

'''在你的本地电脑终端（不是VPS上）执行：'''
ssh-keygen -t ed25519 -C "my_vps_key"</code>
[[File:48444.png|center|thumb|970x970px]]
* <code>ed25519</code> 是目前极力推荐的加密算法，比传统的RSA更安全且更快速。一路回车即可（默认会保存在本地的 <code>~/.ssh/id_ed25519</code> 文件中）。[[File:48445.png|center|thumb|970x970px]]

'''将公钥传输到VPS：'''

* '''如果你的本地是 Mac/Linux:'''

ssh-copy-id -p 28492 root@你的VPS_IP地址<br />
* '''如果你的本地是 Windows:''' 你需要手动将本地 <code>C:\Users\你的用户名\.ssh\id_ed25519.pub</code> 文件里面的那一长串文本复制下来。然后回到 VPS的终端，执行以下命令将公钥粘贴进去：

mkdir -p ~/.ssh
nano ~/.ssh/authorized_keys</code>
[[File:48446.png|center|thumb|1000x1000px]]
* 将复制的公钥文本粘贴进去，<code>Ctrl + O</code> 保存，<code>Ctrl + X</code> 退出。接着设置极其严格的权限以确保安全：

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys</code>
[[File:48447.png|center|thumb|1000x1000px]]
'''关闭密码登录：''' 当你确认可以通过密钥免密码成功登录后，我们要彻底把密码登录的门焊死。再次编辑SSH配置：
nano /etc/ssh/sshd_config</code>
[[File:48448.png|center|thumb|1000x1000px]]
找到 <code>PasswordAuthentication</code>，将其修改为 <code>no</code>：
'''PasswordAuthentication''' no</code>
保存并退出，再次重启SSH服务：<code>systemctl restart sshd</code>。至此，你的服务器已经变成了铜墙铁壁。
----

== 第三阶段：部署 UFW 系统级防火墙 ==
即使修改了SSH端口，如果后续你安装了其他软件暴露了不必要的端口，依然存在风险。我们需要一个防火墙来实行“白名单”制度：除了我允许的，其他一律拦截。

Ubuntu/Debian 推荐使用 <code>ufw</code> (Uncomplicated Firewall)。

== 1. 安装与配置基础规则 ==
apt '''install''' ufw -y</code>
首先，设定默认规则：拒绝所有外部主动连接进来的请求，允许所有服务器内部向外发送的请求。
ufw default deny incoming
ufw default allow outgoing</code>

== 2. 放行必要的端口 ==
'''这是最关键的一步，必须先放行你刚刚修改的SSH端口，否则一旦启用防火墙，你就会立刻失联！'''
'''ufw''' allow 48862/tcp
如果你未来打算运行一些个人工具（例如通过容器部署探针、笔记软件等），并希望通过 <code><nowiki>http://你的IP:端口</nowiki></code> 的形式最直接、最纯净地访问它们，你可以在此时或者未来放行对应的端口。例如，放行常用的 80、443 以及一个自定义的 3001 端口：
'''ufw''' allow 80/tcp
'''ufw''' allow 443/tcp
'''ufw''' allow 3001/tcp</code>

== 3. 启用防火墙 ==
确认SSH端口已放行后，启动防火墙：
ufw enable</code>
系统会提示这可能会中断当前的SSH连接，输入 <code>y</code> 确认。查看当前防火墙状态和放行列表：
'''ufw status'''
----

== 第四阶段：网络基建与性能优化 ==
为了让你的服务器与外界的通信更加顺畅，特别是应对高延迟、容易丢包的跨国网络环境，我们需要开启一项内核级的网络优化技术。

== 开启 BBR 拥塞控制算法 ==
BBR（Bottleneck Bandwidth and Round-trip propagation time）是 Google 开发的一种网络拥塞控制算法，能显著提升网络的吞吐量并降低延迟。现代的Linux内核（4.9以上）已经原生集成了该模块。

直接修改系统配置文件：
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf</code>
应用并使其立即生效：
sysctl -'''p'''</code>
验证 BBR 是否成功开启：
lsmod | grep bbr</code>
如果输出结果中包含 <code>tcp_bbr</code> 字样，说明配置已大功告成。此时你的服务器网络传输能力已经得到了极大的释放。
[[File:48450.png|center|thumb|1000x1000px]]
----

== 第五阶段：时区校准与基础工具包 ==
最后，为了方便后续的日常维护和问题排查，我们需要将服务器时间调整到本地时区，并安装一些不可或缺的系统工具。

== 1. 设置系统时区 ==
如果你的VPS位于海外，默认时间通常是UTC时间。为了在看系统日志、设置定时任务（Cron）时不会因为时差产生混乱，建议将其修改为你所在的时区（例如北京时间）：
timedatectl set-timezone Asia/Shanghai</code>
输入 <code>date</code> 命令即可查看当前时间是否已正确更改。
[[File:48449.png|center|thumb|1000x1000px]]

== 2. 安装必备的运维兵器 ==
把这些轻量级的工具备齐，以后遇到任何问题都能游刃有余地排查：
apt install curl wget htop tmux net-tools -y</code>

* '''curl & wget:''' 命令行下的网络下载神器，几乎所有的一键安装脚本都要依赖它们。
* '''htop:''' 强化版的任务管理器。输入 <code>htop</code>，你可以直观地看到每个CPU核心的负载、内存占用以及到底是谁在消耗系统资源。
* '''tmux:''' 终端复用大师。当你需要执行一个耗时极长的任务时（比如编译安装），在 <code>tmux</code> 窗口里运行，即使你不小心关闭了本地电脑的SSH软件，任务依然会在服务器后台安全地执行。

----

== 结语 ==
至此，你的VPS已经从一个 '''什么都没有的状态''' 变成了一个'''兼具高安全性与高性能的“精装堡垒”'''。它不仅抵御了潜伏在暗处的恶意扫描，也为未来部署各类纯粹、高效的后端服务打下了最坚实的基础。

File:48450.png

2026-03-21T05:34:46Z

Dai：

48450

File:48449.png

2026-03-21T05:32:31Z

Dai：

48449

File:48448.png

2026-03-21T05:30:01Z

Dai：

48448

File:48447.png

2026-03-21T05:28:49Z

Dai：

48447

File:48446.png

2026-03-21T05:27:33Z

Dai：

48446

File:48445.png

2026-03-21T05:26:07Z

Dai：

48445

File:48444.png

2026-03-21T05:25:21Z

Dai：

48444

File:48443.png

2026-03-21T04:49:59Z

Dai：

48443

File:48442.png

2026-03-21T04:48:46Z

Dai：

48442

File:48441.png

2026-03-21T04:45:53Z

Dai：

48441

File:48440.png

2026-03-21T04:37:58Z

Dai：

48440

搬瓦工DC5 E-Commerce SLA VPS测试

2026-01-27T07:36:46Z

Dai：创建页面，内容为“ == 这机器定位很明确：主打电商/业务类场景，强调 99.99% SLA 和中国优化线路。对稳定性有要求的人来说是一个非常好的机器。 == = 1、基础配置 = {| class="wikitable" !通用配置 !基础款配置 |- |thumb |thumb |} = 2、CPU 性能 = {| class="wikitable" !测试 |- |thumb |} * 这个成绩对 2 核来说属于比较正常偏好的水平，单…”

== 这机器定位很明确：主打电商/业务类场景，强调 99.99% SLA 和中国优化线路。对稳定性有要求的人来说是一个非常好的机器。 ==

= 1、基础配置 =
{| class="wikitable"
!通用配置
!基础款配置
|-
|[[File:Image1.png|center|thumb]]
|[[File:Image2.png|thumb]]
|}

= 2、CPU 性能 =
{| class="wikitable"
!测试
|-
|[[File:Image3.png|thumb]]
|}

* 这个成绩对 2 核来说属于比较正常偏好的水平，单核优势比较明显

= 3、内存性能和硬盘 I/O =
{| class="wikitable"
!内存
!硬盘 I/O
|-
|[[File:Image4.png|thumb]]
|[[File:Image6.png|thumb]]
|}

* 内存速度确实漂亮，硬盘水平也是可以的。

= 4、全国tcpng测试 =
{| class="wikitable"
!中国电信
!中国联通
!中国移动
|-
|[[File:Image7.png|thumb]]
|[[File:Image8.png|thumb]]
|[[File:Image9.png|thumb]]
|}

* 电信/联通/移动平均延迟在128-176ms区间，几乎0掉包

= 5、IP质量及流媒体解锁 =
{| class="wikitable"
!IP质量检测
!流媒体解锁
|-
|[[File:Image11.png|thumb]]
|[[File:Image12.png|thumb]]
|}

* IP质量中规中矩，主要流媒体基本实现全解锁。

= 6、网络质量 =
{| class="wikitable"
!三网去程
!中国电信
!中国联通
!中国移动
|-
|
|[[File:Image13.png|thumb]]
|[[File:Image14.png|thumb]]
|[[File:Image15.png|thumb]]
|}
{| class="wikitable"
!三网回程
|-
|[[File:Image16.png|thumb|913x913px]]
|}

* 三网回程均采用优质线路，电信和联通走CN2 GIA（联通后期会进行调整），移动走CMIN2，延迟控制在100-220ms之间。去程也是三网各自优化，分别走CN2\9929\CMIN2路线

= 7、网络测速（本地广东电信1000M，只开启bbr+fq） =

* 1、speedtest.net

{| class="wikitable"
!单线程
!多线程
|-
|[[File:Image17.png|thumb]]
|[[File:Image18.png|thumb]]
|}

* 两次测试显示下载速度稳定在480-600 Mbps区间，上传速度在60-110 Mbps之间波动，整体网络性能良好。

= 8、服务与 SLA：卖点之一 =

* 官方主打 99.99% SLA，并强调机房/网络冗余，比如：
* Tier III 设施与一堆合规（SOC、ISO、NIST、PCI、HIPAA 等）
* 双路供电（UPS + 柴油发电）
* 双网卡/双光纤路径
* 24/7 监控与告警
* 多条 100Gbps 上行 + 自动故障切换
* 还有每两个星期可以免费更换一次IP（没有条件即可更换，正常更换一次IP需要花费近8刀）

= 总结： =

== 优点： ==

* CPU 单核不错，轻量业务很舒服
* NVMe 硬盘非常强，读写很漂亮
* 中国优化线路是重点，国内访问体验更稳
* 99.99% SLA + 冗余描述完整，偏“做业务”的思路

== 缺点： ==

* 内存只有 1GB：适合轻量站点/接口，不适合重型应用
* 机房 IP 属性明显：个别平台/风控严格的服务可能会挑
* 价格通常会比普通款贵：毕竟你买的是线路和 SLA，还附有免费更换IP的功能

== 推荐使用场景： ==

* 面向国内用户的跨境电商站（轻量化部署）
* API 服务、支付回调、业务中转
* 跨境电商直播等中转服务

[[Category:Test category]]

File:Image18.png

2026-01-27T07:35:37Z

Dai：

File:Image17.png

2026-01-27T07:35:23Z

Dai：

File:Image16.png

2026-01-27T07:34:38Z

Dai：

File:Image15.png

2026-01-27T07:34:18Z

Dai：

File:Image14.png

2026-01-27T07:34:06Z

Dai：

File:Image13.png

2026-01-27T07:33:51Z

Dai：

File:Image12.png

2026-01-27T07:33:37Z

Dai：

File:Image11.png

2026-01-27T07:33:23Z

Dai：

File:Image9.png

2026-01-27T07:33:06Z

Dai：

File:Image8.png

2026-01-27T07:32:52Z

Dai：

File:Image7.png

2026-01-27T07:32:35Z

Dai：

File:Image6.png

2026-01-27T07:32:19Z

Dai：

File:Image4.png

2026-01-27T07:31:50Z

Dai：

File:Image3.png

2026-01-27T07:31:33Z

Dai：

File:Image2.png

2026-01-27T07:31:15Z

Dai：

File:Image1.png

2026-01-27T07:30:53Z

Dai：

如何在搬瓦工服务器上安装ufw防火墙和Fail2ban来防止黑客暴力破解

2026-01-23T10:29:35Z

Dai：

在[[如何重装搬瓦工服务器的系统|上一篇教程]]中，我们成功将服务器重装为了 '''Debian 12''' 系统。

Debian 12 (Bookworm) 相比旧版本做了一个重要的底层变更：默认不再安装 <code>rsyslog</code>，这意味着 <code>/var/log/auth.log</code> 这种传统的文本日志文件在默认状态下是不存在的。

这导致很多网上的旧版 Fail2Ban 教程在 Debian 12 上会失效（常见报错为 <code>Failed to access socket path</code> 或无法封禁 IP）。

本篇教程将基于 Debian 12 的新特性，带大家部署 '''UFW 防火墙'''，并配置'''使用 Systemd 驱动的 Fail2Ban'''，为你的 VPS 提供严谨、有效的安全防护。

----

=== 第一步：基础环境更新 ===

安全的第一步永远是保持软件最新。连接 SSH 后，执行以下命令更新软件包列表：

<syntaxhighlight lang="bash">
apt update && apt upgrade -y
</syntaxhighlight>
[[File:Image.1.png|center|thumb|950x950px]]
----

=== 第二步：配置 UFW 防火墙 ===

'''UFW (Uncomplicated Firewall)''' 是管理 iptables 的前端工具，配置简单且不易出错。

==== 1. 安装 UFW ====

<syntaxhighlight lang="bash">apt install ufw -y</syntaxhighlight>
[[File:Image.2.png|center|thumb|950x950px]]

==== 2. 放行 SSH 端口（核心步骤） ====

'''注意'''：在启动防火墙之前，'''必须'''显式放行 SSH 端口，否则会直接切断你当前的连接。

* '''默认端口'''：如果你没改过端口，执行：
<syntaxhighlight lang="bash">
ufw allow 22/tcp
</syntaxhighlight>

* '''自定义端口'''：如果你修改了 SSH 端口（例如 29999），请务必改为：
<syntaxhighlight lang="bash">
ufw allow 29999/tcp
</syntaxhighlight>
[[File:Image.3.png|center|thumb|950x950px]]

==== 3. 放行 Web 服务（可选） ====

如果你后续计划部署博客或网站，建议提前放行 HTTP 和 HTTPS 端口：

<syntaxhighlight lang="bash">
ufw allow 80/tcp
ufw allow 443/tcp
</syntaxhighlight>

==== 4. 启用防火墙 ====

确认规则添加无误后，启用 UFW：

<syntaxhighlight lang="bash">
ufw enable
</syntaxhighlight>

系统会提示可能会中断 SSH 连接，输入 <code>y</code> 并回车确认。
[[File:Image.4.png|center|thumb|900x900px]]

----

=== 第三步：部署 Fail2Ban (适配 Debian 12) ===

'''Fail2Ban''' 通过监控日志来发现恶意行为（如频繁输错密码），并自动调用防火墙封禁来源 IP。

==== 1. 安装 Fail2Ban ====

<syntaxhighlight lang="bash">
apt install fail2ban -y
</syntaxhighlight>
[[File:Image.5.png|center|thumb|900x900px]]

==== 2. 创建自定义配置文件 ====

为了保持配置的整洁和持久性（防止软件升级覆盖配置），我们不要直接修改 <code>/etc/fail2ban/jail.conf</code>，而是在 <code>jail.d</code> 目录下新建一个高优先级的配置文件。

使用 vim 或 nano 编辑新文件：

<syntaxhighlight lang="bash">
nano /etc/fail2ban/jail.d/defaults-debian.conf
</syntaxhighlight>
[[File:Image.56.png|center|thumb|900x900px]]

==== 3. 写入核心配置（Systemd 模式） ====

'''这是最关键的一步。'''

针对 Debian 12 默认没有 <code>auth.log</code> 的情况，我们需要指定 <code>backend = systemd</code>，让 Fail2Ban 直接从系统日志接口读取数据。

请将以下内容复制并粘贴到文件中：

<syntaxhighlight lang="ini">
[DEFAULT]
# 忽略的 IP 白名单（将 1.1.1.1 替换为你自己的常用 IP，或者删除该行）
ignoreip = 127.0.0.1/8 ::1

# 封禁时长：1小时 (-1 为永久封禁)
bantime = 1h

# 判定时间窗口：10分钟内输错 N 次即封禁
findtime = 10m

# 最大尝试次数
maxretry = 5

# [重要] 指定封禁动作使用 ufw
banaction = ufw

[sshd]
enabled = true
# [核心] Debian 12 必须指定 backend 为 systemd 才能读取日志
backend = systemd
port = ssh
</syntaxhighlight>

*按 <code>Ctrl + O</code> 保存，按 <code>Ctrl + X</code> 退出编辑器。*
[[File:Image.6.png|center|thumb|900x900px]]

==== 4. 启动并验证服务 ====

配置完成后，重启 Fail2Ban 服务以应用更改：

<syntaxhighlight lang="bash">
systemctl restart fail2ban
systemctl enable fail2ban
</syntaxhighlight>

'''验证服务状态'''：

输入以下命令查看 SSH 监控模块的运行情况：

<syntaxhighlight lang="bash">
fail2ban-client status sshd
</syntaxhighlight>

'''正确的结果'''应该类似下方输出，且不会出现 <code>ERROR</code> 或 <code>Failed to access socket</code> 的报错：

<syntaxhighlight lang="text">
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
</syntaxhighlight>

如果看到 <code>Journal matches</code> 或类似的日志源提示，说明 Fail2Ban 已经成功挂载到 systemd 日志流上，开始正常工作了。
[[File:Image.7.png|center|thumb|900x900px]]

----

=== 总结 ===

至此，UFW防火墙和Fail2ban都设置完成。
[[index.php?title=Category:500 常见应用指南 — Application Guides]]
[[Category:500 常见应用指南 — Application Guides]]

如何在搬瓦工服务器上安装ufw防火墙和Fail2ban来防止黑客暴力破解

2026-01-23T10:28:32Z

Dai：

如何在搬瓦工服务器上安装ufw防火墙和Fail2ban来防止黑客暴力破解

2026-01-23T10:27:02Z

Dai：创建页面，内容为“在上一篇教程中，我们成功将服务器重装为了 '''Debian 12''' 系统。 Debian 12 (Bookworm) 相比旧版本做了一个重要的底层变更：默认不再安装 <code>rsyslog</code>，这意味着 <code>/var/log/auth.log</code> 这种传统的文本日志文件在默认状态下是不存在的。这导致很多网上的旧版 Fail2Ban 教程在 Debian 12 上会失效（常见报错为 <code>Failed…”

在[[如何重装搬瓦工服务器的系统|上一篇教程]]中，我们成功将服务器重装为了 '''Debian 12''' 系统。

Debian 12 (Bookworm) 相比旧版本做了一个重要的底层变更：默认不再安装 <code>rsyslog</code>，这意味着 <code>/var/log/auth.log</code> 这种传统的文本日志文件在默认状态下是不存在的。

这导致很多网上的旧版 Fail2Ban 教程在 Debian 12 上会失效（常见报错为 <code>Failed to access socket path</code> 或无法封禁 IP）。

本篇教程将基于 Debian 12 的新特性，带大家部署 '''UFW 防火墙'''，并配置'''使用 Systemd 驱动的 Fail2Ban'''，为你的 VPS 提供严谨、有效的安全防护。

----

=== 第一步：基础环境更新 ===

安全的第一步永远是保持软件最新。连接 SSH 后，执行以下命令更新软件包列表：

<syntaxhighlight lang="bash">
apt update && apt upgrade -y
</syntaxhighlight>
[[File:Image.1.png|center|thumb|950x950px]]
----

=== 第二步：配置 UFW 防火墙 ===

'''UFW (Uncomplicated Firewall)''' 是管理 iptables 的前端工具，配置简单且不易出错。

==== 1. 安装 UFW ====

<syntaxhighlight lang="bash">apt install ufw -y</syntaxhighlight>
[[File:Image.2.png|center|thumb|950x950px]]

==== 2. 放行 SSH 端口（核心步骤） ====

'''注意'''：在启动防火墙之前，'''必须'''显式放行 SSH 端口，否则会直接切断你当前的连接。

* '''默认端口'''：如果你没改过端口，执行：
<syntaxhighlight lang="bash">
ufw allow 22/tcp
</syntaxhighlight>

* '''自定义端口'''：如果你修改了 SSH 端口（例如 29999），请务必改为：
<syntaxhighlight lang="bash">
ufw allow 29999/tcp
</syntaxhighlight>
[[File:Image.3.png|center|thumb|950x950px]]

==== 3. 放行 Web 服务（可选） ====

如果你后续计划部署博客或网站，建议提前放行 HTTP 和 HTTPS 端口：

<syntaxhighlight lang="bash">
ufw allow 80/tcp
ufw allow 443/tcp
</syntaxhighlight>

==== 4. 启用防火墙 ====

确认规则添加无误后，启用 UFW：

<syntaxhighlight lang="bash">
ufw enable
</syntaxhighlight>

系统会提示可能会中断 SSH 连接，输入 <code>y</code> 并回车确认。
[[File:Image.4.png|center|thumb|900x900px]]

----

=== 第三步：部署 Fail2Ban (适配 Debian 12) ===

'''Fail2Ban''' 通过监控日志来发现恶意行为（如频繁输错密码），并自动调用防火墙封禁来源 IP。

==== 1. 安装 Fail2Ban ====

<syntaxhighlight lang="bash">
apt install fail2ban -y
</syntaxhighlight>
[[File:Image.5.png|center|thumb|900x900px]]

==== 2. 创建自定义配置文件 ====

为了保持配置的整洁和持久性（防止软件升级覆盖配置），我们不要直接修改 <code>/etc/fail2ban/jail.conf</code>，而是在 <code>jail.d</code> 目录下新建一个高优先级的配置文件。

使用 vim 或 nano 编辑新文件：

<syntaxhighlight lang="bash">
nano /etc/fail2ban/jail.d/defaults-debian.conf
</syntaxhighlight>
[[File:Image.56.png|center|thumb|900x900px]]

==== 3. 写入核心配置（Systemd 模式） ====

'''这是最关键的一步。'''

针对 Debian 12 默认没有 <code>auth.log</code> 的情况，我们需要指定 <code>backend = systemd</code>，让 Fail2Ban 直接从系统日志接口读取数据。

请将以下内容复制并粘贴到文件中：

<syntaxhighlight lang="ini">
[DEFAULT]
# 忽略的 IP 白名单（将 1.1.1.1 替换为你自己的常用 IP，或者删除该行）
ignoreip = 127.0.0.1/8 ::1

# 封禁时长：1小时 (-1 为永久封禁)
bantime = 1h

# 判定时间窗口：10分钟内输错 N 次即封禁
findtime = 10m

# 最大尝试次数
maxretry = 5

# [重要] 指定封禁动作使用 ufw
banaction = ufw

[sshd]
enabled = true
# [核心] Debian 12 必须指定 backend 为 systemd 才能读取日志
backend = systemd
port = ssh
</syntaxhighlight>

*按 <code>Ctrl + O</code> 保存，按 <code>Ctrl + X</code> 退出编辑器。*
[[File:Image.6.png|center|thumb|900x900px]]

==== 4. 启动并验证服务 ====

配置完成后，重启 Fail2Ban 服务以应用更改：

<syntaxhighlight lang="bash">
systemctl restart fail2ban
systemctl enable fail2ban
</syntaxhighlight>

'''验证服务状态'''：

输入以下命令查看 SSH 监控模块的运行情况：

<syntaxhighlight lang="bash">
fail2ban-client status sshd
</syntaxhighlight>

'''正确的结果'''应该类似下方输出，且不会出现 <code>ERROR</code> 或 <code>Failed to access socket</code> 的报错：

<syntaxhighlight lang="text">
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
</syntaxhighlight>

如果看到 <code>Journal matches</code> 或类似的日志源提示，说明 Fail2Ban 已经成功挂载到 systemd 日志流上，开始正常工作了。
[[File:Image.7.png|center|thumb|900x900px]]

----

=== 总结 ===

至此，你的服务器安全架构已搭建完毕：

# '''UFW''' 负责“关门”，只开放必要的业务端口。
# '''Fail2Ban''' 负责“站岗”，利用 Debian 12 原生的 systemd 日志接口，精准拦截暴力破解者。

这种配置方案无需安装额外的 syslog 服务，既节省了系统资源，又符合新版 Linux 的技术规范，是最推荐的配置方式。
[[Category:500 常见应用指南 — Application Guides]]

File:Image.7.png

2026-01-23T10:23:59Z

Dai：

File:Image.6.png

2026-01-23T10:23:09Z

Dai：

File:Image.56.png

2026-01-23T10:22:23Z

Dai：

File:Image.5.png

2026-01-23T10:21:42Z

Dai：

File:Image.4.png

2026-01-23T10:21:01Z

Dai：

File:Image.3.png

2026-01-23T10:20:06Z

Dai：

File:Image.2.png

2026-01-23T10:19:20Z

Dai：

File:Image.1.png

2026-01-23T10:16:30Z

Dai：

如何重装搬瓦工服务器的系统

2026-01-22T10:40:48Z

Dai：

对于刚入手 BandwagonHost（搬瓦工）服务器的朋友来说，很多人会发现后台默认安装的系统是 '''Rocky Linux 9'''。虽然 Rocky Linux 很稳定，但对于习惯使用 Debian 或 Ubuntu 的用户来说，第一件事往往就是重装系统。

这篇教程会教大家如何在搬瓦工自带的 '''KiwiVM''' 控制面板中，将 VPS 重装为你熟悉的系统（以 Debian 12 为例）。

== 准备工作 ==
开始之前，请确保你已经收到了服务器开通的邮件。如下图所示，默认情况下官方交付的系统通常是 <code>Rocky-9-x86_64</code>。
[[File:Image-1.png|center|thumb|1000x1000px]]
----

== 第一步：进入 KiwiVM 管理面板 ==
首先，我们需要登录到 BandwagonHost 的官方网站里面。

# 在官网顶部菜单栏，点击 '''Services'''，在下拉菜单中选择 '''My Services'''。
# 在服务列表中找到你需要进行换系统操作对应的 VPS。
# 点击最右侧的 '''齿轮图标 (Manage)'''。
# 在弹出的菜单中，点击 '''Open KiwiVM'''。这将自动跳转到服务器的专属控制面板。

{| class="wikitable"
|+
![[File:Image-4.png|thumb|500x500px]]
![[File:Image-20260119173344101.png|center|thumb|500x500px]]
|}
----

== 第二步：停止服务器运行 (Stop) ==
这是非常关键的一步！'''在重装系统之前，必须确保服务器处于关机状态。'''

进入 KiwiVM 面板首页（Main Controls）后：

* 查看 '''Status''' 状态栏。
* 点击 '''Stop''' 按钮，强制停止服务器运行。

----

== 第三步：选择新的操作系统 ==

# 待服务器关机后，在左侧菜单栏找到并点击 '''Install new OS'''。[[File:Image-3.png|center|thumb|1000x1000px]]
# 在右侧的系统列表中，选择你自己习惯使用的操作系统。[[File:Image-5.png|center|thumb|1000x1000px]]
# 勾选底部的确认框：<code>I acknowledge that this action will permanently erase all existing data on my VM</code>（我知悉此操作将永久抹除虚拟机上的所有数据）。
# 点击 '''Reload''' 按钮。

----

== 第四步：确认数据销毁风险 ==
点击 Reload 后，浏览器会弹出一个二次确认窗口。<blockquote>注意：点击 OK 后，'''硬盘内所有数据将被永久删除且无法恢复！''' 如果这是老机器，请务必提前做好数据备份或快照。如果是新机器，直接点击 '''OK''' 即可。</blockquote>
[[File:Image-6.png|center|thumb|1000x1000px]]
----

== 第五步：等待重装完成并获取密码 ==
点击 OK 后，系统会跳转到重装进度页面。

* '''重装时间'''：通常只需要几分钟。
* '''Root 密码'''：界面上会显示临时的 '''Root Password''' 和 '''SSH Port'''（SSH 端口）。

建议先将这里的密码复制保存一下。当然，如果你手快关掉了也没关系，系统会自动发送一份备份到你的注册邮箱。
[[File:Image-7.png|center|thumb|1000x1000px]]
----

== 第六步：查收邮件通知 ==
大约几分钟后，你的邮箱会收到一封标题为 <code>OS Install Completed</code> 的邮件。这代表系统已经重装成功了！
[[File:Image-9.png|center|thumb|1000x1000px]]

邮件中同样包含了新的 SSH 端口（SSH Port）和 Root 密码，你可以直接使用这些信息通过 SSH 工具（如 FinalShell、Xshell）连接你的服务器了。

如何重装搬瓦工服务器的系统

2026-01-22T08:22:44Z

Dai：重装系统

对于刚入手 BandwagonHost（搬瓦工）服务器的朋友来说，很多人会发现后台默认安装的系统是 '''Rocky Linux 9'''。虽然 Rocky Linux 很稳定，但对于习惯使用 Debian 或 Ubuntu 的用户来说，第一件事往往就是重装系统。

这篇教程会教大家如何在搬瓦工自带的 '''KiwiVM''' 控制面板中，将 VPS 重装为你熟悉的系统（以 Debian 12 为例）。

== 准备工作 ==
开始之前，请确保你已经收到了服务器开通的邮件。如下图所示，默认情况下官方交付的系统通常是 <code>Rocky-9-x86_64</code>。
[[File:Image-1.png|center|thumb|1000x1000px]]
----

== 第一步：进入 KiwiVM 管理面板 ==
首先，我们需要登录到 BandwagonHost 的官网后台。

# 在官网顶部菜单栏，点击 '''Services'''，在下拉菜单中选择 '''My Services'''。
# 在服务列表中找到你需要操作的 VPS。
# 点击最右侧的 '''齿轮图标 (Manage)'''。
# 在弹出的菜单中，点击 '''Open KiwiVM'''。这将自动跳转到服务器的专属控制面板。

{| class="wikitable"
|+
![[File:Image-4.png|thumb|500x500px]]
![[File:Image-20260119173344101.png|center|thumb|500x500px]]
|}
----

== 第二步：停止服务器运行 (Stop) ==
这是非常关键的一步！'''在重装系统之前，必须确保服务器处于关机状态。'''

进入 KiwiVM 面板首页（Main Controls）后：

* 查看 '''Status''' 状态栏。
* 点击 '''Stop''' 按钮，强制停止服务器运行。

----

== 第三步：选择新的操作系统 ==

# 待服务器关机后，在左侧菜单栏找到并点击 '''Install new OS'''。[[File:Image-3.png|center|thumb|1000x1000px]]
# 在右侧的系统列表中，选择你自己习惯用的系统。[[File:Image-5.png|center|thumb|1000x1000px]]
# 勾选底部的确认框：<code>I acknowledge that this action will permanently erase all existing data on my VM</code>（我知悉此操作将永久抹除虚拟机上的所有数据）。
# 点击 '''Reload''' 按钮。

----

== 第四步：确认数据销毁风险 ==
点击 Reload 后，浏览器会弹出一个二次确认窗口。<blockquote>注意：点击 OK 后，'''硬盘内所有数据将被永久删除且无法恢复！''' 如果这是老机器，请务必提前做好数据备份或快照。如果是新机器，直接点击 '''OK''' 即可。</blockquote>
[[File:Image-6.png|center|thumb|1000x1000px]]
----

== 第五步：等待重装完成并获取密码 ==
点击 OK 后，系统会跳转到重装进度页面。

* '''重装时间'''：通常只需要几分钟。
* '''Root 密码'''：界面上会显示临时的 '''Root Password''' 和 '''SSH Port'''（SSH 端口）。

建议先将这里的密码复制保存一下。当然，如果你手快关掉了也没关系，系统会自动发送一份备份到你的注册邮箱。
[[File:Image-7.png|center|thumb|1000x1000px]]
----

== 第六步：查收邮件通知 ==
大约几分钟后，你的邮箱会收到一封标题为 <code>OS Install Completed</code> 的邮件。这代表系统已经重装成功了！
[[File:Image-9.png|center|thumb|1000x1000px]]

邮件中同样包含了新的 SSH 端口（SSH Port）和 Root 密码，你可以直接使用这些信息通过 SSH 工具（如 FinalShell、Xshell）连接你的服务器了。

File:Image-9.png

2026-01-22T08:17:19Z

Dai：

File:Image-8.png

2026-01-22T08:15:26Z

Dai：

File:Image-7.png

2026-01-22T08:14:41Z

Dai：

File:Image-6.png

2026-01-22T08:13:17Z

Dai：

File:Image-5.png

2026-01-22T08:11:48Z

Dai：

File:Image-4.png

2026-01-22T08:07:28Z

Dai：

File:Image-3.png

2026-01-22T08:05:47Z

Dai：