VPS服务器购买后Linux环境安全加固checklist执行指南

一、基础账户安全加固

完成VPS服务器购买后的首要任务就是强化账户体系。立即修改root默认密码为16位以上复杂组合（包含大小写字母、数字及特殊符号），并通过passwd root命令实施。建议创建具有sudo权限的普通用户作为日常操作账户，使用useradd -m -s /bin/bash username创建用户后，在/etc/sudoers文件添加"NOPASSWD"权限可避免频繁输入密码。您是否知道99%的暴力破解攻击都针对22端口？务必通过usermod -L root禁用root直接登录，并在/etc/ssh/sshd_config中设置"PermitRootLogin no"。

二、SSH服务深度防护策略

作为VPS服务器最常被攻击的入口，SSH服务需要特别防护。将默认22端口改为1024-65535之间的随机端口，可减少90%自动化扫描攻击。配置密钥登录替代密码认证，用ssh-keygen -t ed25519生成高强度密钥对，并设置authorized_keys文件权限为600。在/etc/ssh/sshd_config中添加"MaxAuthTries 3"和"LoginGraceTime 1m"可限制尝试次数。是否考虑过双因素认证？安装Google Authenticator模块能实现动态口令验证，配合Fail2Ban自动封禁异常IP效果更佳。

三、系统服务最小化原则

新购VPS服务器往往带有不必要的服务组件，使用systemctl list-unit-files | grep enabled查看所有自启服务。关闭非必需的cups、avahi-daemon等服务，数据库类服务如MySQL/MariaDB应配置仅监听127.0.0.1。通过netstat -tulnp检查开放端口，对检测到的未知服务立即停用。特别注意老旧Linux发行版默认安装的rpcbind服务，这是近年高危漏洞的重灾区，建议永久禁用。您知道吗？仅关闭IPv6协议就能减少20%潜在攻击面，在/etc/sysctl.conf中添加"net.ipv6.conf.all.disable_ipv6=1"即可生效。

四、防火墙与入侵检测配置

UFW或Firewalld应作为VPS服务器的标准配置，建议启用默认拒绝策略。对于Web服务器，仅开放HTTP/HTTPS和SSH端口，使用ufw allow proto tcp from your_ip to any port your_ssh_port限制SSH访问源IP。安装配置OSSEC或AIDE等HIDS（主机入侵检测系统），定期校验系统文件完整性。您是否部署了实时监控？配置Logwatch日志分析工具配合自定义警报规则，可及时发现"Authentication failure"等异常事件。记住定期更新规则：apt-get update && apt-get upgrade -y或yum update -y。

五、关键目录权限控制

Linux文件系统权限是VPS服务器一道防线。/etc/passwd、/etc/shadow等关键文件应设置为640权限，/tmp目录建议添加noexec属性防止恶意脚本执行。通过chmod 750 /home/限制用户主目录访问，Web目录如/var/www/html应设置为755。特别提醒：/etc/crontab和/etc/ssh/sshd_config等配置文件必须设为644权限以下。您是否定期检查SUID/SGID文件？使用find / -perm -4000 -o -perm -2000 -type f -exec ls -ld {} \;可找出潜在提权漏洞，异常结果需立即处理。

六、自动化安全维护方案

为保持VPS服务器长期安全状态，建议配置自动化任务。使用crontab设置每周自动更新：0 3 0 apt-get update && apt-get upgrade -y。编写Shell脚本定期检查用户列表、服务状态和登录记录，配合Telegram或邮件通知异常。对于生产环境，应考虑部署CIS-CAT基准扫描工具，它包含200+项Linux安全检测项。您知道Lynis安全审计工具吗？这款开源工具能生成详细加固建议报告，执行lynis audit system即可获取专业级安全评估。