刚买了 VPS 的新手朋友,是不是总担心被黑客攻击?网站数据丢了、服务器被别人乱搞,想想都头大。其实啊,VPS 安全没那么复杂,做好防火墙、改改端口、设个强密码,就能挡住 80% 的攻击。小编前阵子帮朋友的 VPS 做安全设置,他之前图省事啥都没弄,结果被植入挖矿程序,CPU 跑满差点被服务商封了。今天就一步步教你,从防火墙到密码加固,Linux 和 Windows 系统都有,小白也能看懂,一起往下看吧!
第一步:防火墙配置,先给 VPS 加道 “门”
防火墙就像家门口的保安,只让好人进,把坏人拦在外面。Linux 和 Windows 的设置方法不太一样,但核心都是 “只开需要的端口”。
Linux 系统(以 Ubuntu 为例)
- 打开终端,输入 “sudo ufw status”,看看防火墙是不是开着(没开的话显示 “inactive”)。
- 先开基础端口:输入 “sudo ufw allow 22/tcp”(SSH 连接用,后面会改这个端口,先开着),再根据你用途开端口,比如搭网站就开 “80/tcp”“443/tcp”。
- 输入 “sudo ufw enable” 启动防火墙,再输 “sudo ufw status” 确认,看到 “Status: active” 就成了。
Windows 系统(以 Server 2019 为例)
- 打开 “控制面板”→“系统和安全”→“Windows Defender 防火墙”→“高级设置”。
- 左边点 “入站规则”,右边点 “新建规则”,选 “端口”,输入你要开的端口(比如远程桌面默认 3389,网站 80、443),允许连接,下一步到底就行。
小编提醒:别贪方便把所有端口都打开,比如你不玩游戏,就别开 3306(数据库)、21(FTP)这些,开得越多,漏洞越多。
第二步:改默认端口,别让黑客 “按套路出牌”
黑客最爱扫默认端口,比如 Linux 的 SSH 默认 22 端口、Windows 的远程桌面 3389 端口,不改的话,每天能被扫描上万次。
Linux 改 SSH 端口
- 终端输入 “sudo vi /etc/ssh/sshd_config”,找到 “#Port 22”,删掉前面的 “#”,把 22 改成一个 10000-65535 之间的数(比如 12345)。
- 保存退出(按 ESC,输 “:wq” 回车),再输入 “sudo systemctl restart sshd” 重启服务。
- 别忘了在防火墙里允许新端口:“sudo ufw allow 12345/tcp”,旧的 22 端口可以关掉:“sudo ufw delete allow 22/tcp”。
Windows 改远程桌面端口
- 按 “Win+R” 输 “regedit” 打开注册表,找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”。
- 双击 “PortNumber”,选 “十进制”,输入新端口(比如 23456),确定后重启电脑。
- 去防火墙高级设置里,把旧的 3389 规则删掉,新建一条允许 23456 端口的规则。
有人可能会问,改了端口记不住咋办?记在手机备忘录里就行,总比被黑客破解强。小编第一次改的时候,改完忘了端口,连不上 VPS,后来找服务商重置才搞定,所以一定要记牢!
第三步:密码加固,别用 “123456” 这种弱密码
弱密码就像用玻璃门挡小偷,一推就开。不管 Linux 还是 Windows,密码都得复杂点。
设强密码的小技巧
- 长度至少 12 位,混合大小写字母(比如 A 和 a)、数字(0-9)、符号(!@#),比如 “Lx85!pqW29$”。
- 别用生日、手机号,黑客很容易猜到。可以用 “短语缩写 + 符号”,比如 “我爱吃苹果 123” 改成 “WoAiChiPg123!”。
Linux 改密码
- 终端输入 “passwd”,输入当前密码,再输新密码(输的时候屏幕不显示,别以为没反应),确认一遍就行。
Windows 改密码
- 按 “Ctrl+Alt+Del”,点 “更改密码”,输入旧密码和新密码,确定就好。
小编见过最夸张的,有客户用 “123456” 当密码,结果 VPS 被当成肉鸡发垃圾邮件,账号直接被封了。所以这步千万别偷懒!
第四步:系统更新,及时补 “漏洞”
系统就像房子,时间长了会有裂缝,更新就是补裂缝。不更新的话,黑客能通过已知漏洞轻松入侵。
Linux 更新
- Ubuntu 输入 “sudo apt update && sudo apt upgrade -y”,等它跑完重启就行(输入 “sudo reboot”)。
- CentOS 用 “sudo yum update -y”,步骤差不多。
Windows 更新
- 打开 “设置”→“更新和安全”→“Windows 更新”,点 “检查更新”,下载完重启电脑。
有人觉得更新麻烦,总提示 “稍后重启”,但小编建议,看到更新就尽快弄,尤其是标着 “安全更新” 的,都是补高危漏洞的。
Linux 和 Windows 安全设置对比表,一目了然
| 操作项 | Linux 系统(Ubuntu) | Windows 系统(Server) |
|---|---|---|
| 防火墙工具 | ufw 命令 | 防火墙高级设置(图形界面) |
| 默认远程端口 | 22(SSH) | 3389(远程桌面) |
| 改端口位置 | /etc/ssh/sshd_config 文件 | 注册表(RDP-Tcp 项) |
| 系统更新命令 | sudo apt update && upgrade | 设置→更新和安全→Windows 更新 |
自问自答:这些问题新手常问
问:我就搭个小网站,有必要搞这么多设置吗?
答:太有必要了!小网站也是黑客的目标,他们不管你网站大小,能入侵就入侵,用来挖矿、发垃圾邮件,到时候你损失更大。
问:设置完安全措施,怎么知道有没有效果?
答:可以用在线工具扫一下,比如 “Shodan” 搜你 VPS 的 IP,看看开放的端口对不对;或者看服务器日志,Linux 在 “/var/log/auth.log”,Windows 在 “事件查看器”,如果有大量失败的登录记录,说明设置起作用了,挡住了攻击。
问:有没有简单的安全检查工具?
答:Linux 可以装 “lynis”(输入 “sudo apt install lynis”),扫描后会告诉你哪里有问题;Windows 用自带的 “Windows Defender” 全盘扫一下,基本够用。
小编自己的经验是,新手最容易忽略系统更新和端口修改,总觉得 “应该没人盯上我”,但黑客的扫描工具是全自动的,不管你是谁,扫到漏洞就入侵。所以宁愿多花半小时设置,也别等出问题再后悔。
最后说个小细节:定期备份数据,哪怕 VPS 真被黑了,还能恢复。Linux 可以用 “rsync” 命令,Windows 手动复制到本地就行。安全设置是基础,备份才是最后一道保险,这俩结合起来,基本就稳了。
