刚完成 VPS(虚拟专用服务器)部署后,很多新手站长会面临一个共同问题:系统虽然能跑了,但不知道接下来该做什么配置才能保证安全和性能。本指南将从 SSH 安全加固、防火墙配置、系统调优到监控运维,教你一步步完成 VPS 的安全加固与性能优化。这些操作不需要专业运维背景,跟着步骤执行即可,每项配置都附带可直接运行的命令。如果你对 VPS 基础选型还不熟悉,可以先参考这篇 VPS 选购指南 了解不同配置的适用场景。此外,了解 WordPress 主机优化 也能帮助你更好地规划部署后的性能策略。
SSH 安全加固:封堵最直接的入口
SSH(安全传输协议)是 VPS 最常用的远程管理通道,也是被暴力破解攻击频率最高的入口。根据安全机构的数据,一台默认配置的 VPS 在部署后 24 小时内就会收到数百次 SSH 登录尝试。以下是必须优先完成的三项加固措施。
更换默认 SSH 端口
默认的 22 端口是扫描器的首选目标。将其更换为 1024-65535 之间的高位端口,可以过滤掉 99% 的自动化扫描攻击。执行以下命令修改配置:
sudo sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config
sudo systemctl restart sshd
将 2222 替换为你选择的端口号。修改后务必在当前会话中测试新端口能否连接,确认无误再关闭原会话。如果连接失败,你还有原会话可以恢复。
禁用 root 直接登录
root 账户拥有系统最高权限,一旦被攻破后果严重。建议创建一个普通用户用于日常管理,仅在需要时才通过 sudo 提权:
adduser admin_user
usermod -aG sudo admin_user
echo "PermitRootLogin no" | sudo tee -a /etc/ssh/sshd_config
sudo systemctl restart sshd
配置密钥登录并关闭密码认证
密码认证容易被暴力破解,密钥认证的安全性高出几个数量级。先在本地生成密钥对,再将公钥上传到 VPS:
ssh-keygen -t ed25519 -C "your_email@example.com"
ssh-copy-id -p 2222 admin_user@your_server_ip
echo "PasswordAuthentication no" | sudo tee -a /etc/ssh/sshd_config
sudo systemctl restart sshd
这三步完成后,你的 VPS 已经具备了基础的安全防线。如果还需要了解不同 VPS 方案的性能差异,可以参考相关 VPS 主机方案对比。接下来需要配置防火墙来进一步控制网络流量。
防火墙配置:精确控制进出流量
防火墙是 VPS 安全体系中第二道关键防线。UFW(Uncomplicated Firewall)是 Ubuntu 系统上最简便的防火墙管理工具,底层调用 iptables 但命令更直观。
安装并启用 UFW
sudo apt update && sudo apt install ufw -y
sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw --force enable
sudo ufw status verbose
启用后 ufw status 会显示当前规则列表。注意:启用防火墙前必须确保 SSH 端口已放行,否则你会把自己锁在服务器外。
配置默认策略与速率限制
除了放行业务端口,还需要配置默认拒绝入站流量,并对 SSH 端口启用速率限制:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw limit 2222/tcp
Fail2ban 自动封禁恶意 IP
防火墙是静态规则,Fail2ban 则是动态防御工具。它会分析日志文件,对反复登录失败的 IP 自动添加临时封禁规则:
sudo apt install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo tee -a /etc/fail2ban/jail.local << 'EOF'
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
EOF
sudo systemctl restart fail2ban
上述配置意味着同一 IP 在 5 次认证失败后会被封禁 1 小时。配合 SSH 端口更换和密钥认证,暴力破解攻击基本可以被完全阻断。
系统性能调优:让 VPS 跑出最佳状态
安全加固完成后,下一步是让系统性能达到最优。默认的 Linux 内核参数和系统服务配置偏向通用场景,针对 Web 服务器场景做针对性调整后,性能提升非常明显。
调整内核参数优化网络性能
网络性能是 VPS 的核心指标之一。以下参数调整可以显著提升 TCP 连接处理能力和并发性能:
sudo tee -a /etc/sysctl.conf << 'EOF'
net.core.somaxconn = 65535
net.ipv4.tcp_max_syn_backlog = 65535
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_keepalive_time = 300
net.ipv4.ip_local_port_range = 1024 65000
EOF
sudo sysctl -p
这些参数的作用分别是:somaxconn 提高最大连接队列长度,tcp_fin_timeout 缩短连接关闭等待时间,tcp_tw_reuse 允许复用 TIME_WAIT 状态的连接。对于需要处理大量并发连接的 Web 服务器,这几项调整能直接减少连接延迟。
禁用不必要的系统服务
默认安装的 Ubuntu/Debian 系统会启动大量非必需服务,占用宝贵的内存和 CPU 资源。检查并禁用它们:
systemctl list-units --type=service --state=running
sudo systemctl disable --now bluetooth.service
sudo systemctl disable --now cups.service
sudo systemctl disable --now avahi-daemon.service
在一台 2GB 内存的 VPS 上,关闭这些非必要服务可以释放约 200-300MB 内存,对资源敏感的应用场景(如小型数据库或缓存服务)效果显著。
配置 Swap 交换空间
当物理内存不足时,Swap 可以作为应急缓冲区防止 OOM(内存溢出)导致进程被系统强制杀死:
sudo fallocate -l 2G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab
echo 'vm.swappiness = 10' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
将 vm.swappiness 设为 10 意味着系统仅在物理内存使用率达到 90% 以上时才启用 Swap,避免因过早使用 Swap 导致 I/O 性能下降。
监控与日常运维:防患于未然
安全加固和性能优化不是一次性工作。建立基本的监控体系,才能在问题出现前及时发现并处理。
安装系统资源监控工具
推荐使用 htop 和 netdata 组合,前者用于实时查看进程资源占用,后者提供可视化历史数据:
sudo apt install htop -y
bash <(curl -Ss https://my-netdata.io/kickstart.sh)
Netdata 安装完成后默认在 19999 端口提供 Web 面板,可以查看 CPU、内存、磁盘 I/O、网络流量等 200 多项指标的实时图表。如果你不想开放额外端口,也可以通过 SSH 隧道访问:
ssh -L 19999:localhost:19999 admin_user@your_server_ip
配置自动安全更新
系统软件包的安全漏洞是 VPS 被攻破的常见原因之一。配置自动安全更新可以确保关键补丁及时安装:
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades
配置完成后,系统会在每天凌晨自动检查并安装安全更新。你可以在 /var/log/unattended-upgrades/unattended-upgrades.log 中查看更新记录。
定期备份关键数据
数据备份是最后一道防线。使用 rsync 和 cron 可以搭建简单的自动备份方案:
sudo tee /usr/local/bin/backup.sh << 'SCRIPT'
BACKUP_DIR="/backup/$(date +%Y%m%d)"
mkdir -p $BACKUP_DIR
rsync -avz /var/www/html/ $BACKUP_DIR/www/
mysqldump --all-databases > $BACKUP_DIR/all_databases.sql
cp -r /etc/nginx/ $BACKUP_DIR/nginx/
echo "Backup completed: $(date)" >> /var/log/backup.log
SCRIPT
chmod +x /usr/local/bin/backup.sh
(crontab -l 2>/dev/null; echo "0 3 * * * /usr/local/bin/backup.sh") | crontab -
关于网站加速方面的更多优化技巧,可以参考这篇 网站优化指南。如果使用支持快照备份的 VPS 产品,控制面板通常也提供了自动快照备份功能,可以在后台设置每周或每日自动快照,作为本地备份的补充方案。如果你主要运行 WordPress 站点,WordPress 主机方案 在管理面板中集成了备份和防火墙功能,可以进一步简化运维工作。
总结:从部署到稳定运行的完整路径
本文从 SSH 安全加固、防火墙配置、系统性能调优到监控运维,覆盖了 VPS 部署后最关键的配置环节。总结下来,建议按以下优先级顺序执行:
- 先做安全:更换 SSH 端口、禁用 root 登录、配置密钥认证、启用 UFW 防火墙和 Fail2ban
- 再做性能:调整内核网络参数、关闭无用服务、配置 Swap
- 最后建监控:安装资源监控工具、配置自动安全更新、建立备份机制
如果你正在寻找一台配置灵活、性能稳定的 VPS 来部署业务,可以参考各大服务商的产品方案。例如 Hostease 提供的 VPS 方案在控制面板中内置了快照备份和防火墙管理功能,可以省去部分手动配置工作。关于服务器选型的更多建议,可以阅读这篇 服务器配置指南。无论选择哪家服务商,本文中的安全加固和性能优化步骤都同样适用——这些是服务器运维的通用最佳实践,值得在每台新 VPS 上执行一遍。