新服务器初始化 2

📌 前提

本文假设你已经：

• 安装好最新的 Ubuntu Server LTS（例如 Ubuntu 24.04 LTS 或 22.04 LTS）系统；参考官方安装流程可以先完成基本安装和网络配置。
• 有 root 或 sudo 权限来执行系统初始化操作。

🚀 一、首次登录 & 用户账号设定

1. 登录服务器

1

ssh root@your_server_ip

如果是云主机一般默认创建了一个 sudo 用户，可以直接用该用户登录，而不要直接用 root 登录。

我一般喜欢改个 hostname 和时区

1
2

hostnamectl set-hostname <new-hostname>
sudo timedatectl set-timezone Asia/Hong_Kong

2. 创建新用户（避免日常使用 root）

1
2

sudo adduser youruser
sudo usermod -aG sudo youruser

👉 将 youruser 换成你自己的管理用户名。

这避免了一直用 root 操作，有助于提高安全性。

3. 禁止 root SSH 登录（强烈建议）

✔️ 推荐使用 SSH key 登录（不允许密码，防止暴力破解）。谢谢ssh-copy-id 下面有写

🧰 二、系统更新与基础软件

1. 更新系统

1
2
3
4

sudo apt update
sudo apt upgrade -y
sudo apt autoremove -y
sudo apt clean

确保系统内核和软件包是最新的。

2. 安装日常工具

1

sudo apt install -y htop curl wget lsof git vim net-tools unzip build-essential

可以根据实际需求添加其他工具，如 nano 等。

3. 安装自动安全更新（Unattended Upgrades）

1
2

sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

gpt 建议我这样做。我试试

🔐 三、SSH & 防火墙配置强化

1. 配置 UFW（Uncomplicated Firewall）

1
2

sudo ufw allow OpenSSH
sudo ufw enable

检查状态：

1

sudo ufw status

只开放需要的端口。

2. 安装 Fail2Ban（阻止暴力攻击）

1

sudo apt install fail2ban

Fail2Ban 监控失败登录尝试并自动屏蔽恶意 IP。

🔎 四、安全加固建议（生产级）

这些是当下较常见的进一步加固措施：

1. 禁止 SSH 密码登录 & 强制使用 Key

SSH 配置中如前所示设置：

1

PasswordAuthentication no

强制仅使用 Key 登录。

2. 安全增强工具

安装并启用 AppArmor：

1
2

sudo apt install apparmor apparmor-utils
sudo aa-enforce /etc/apparmor.d/*

3. 系统审计 & 漏洞扫描

安装 Lynis 做安全扫描：

1
2

sudo apt install lynis
sudo lynis audit system

帮助发现潜在安全隐患。

4. 强密码 & 密码策略

可以使用 PAM 密码策略增强密码强度：

1

sudo apt install libpam-cracklib

修改 /etc/pam.d/common-password 设置强口令规则。

📊 五、监控与时钟同步

1. 安装 Chrony（时间同步）

1

sudo apt install chrony

这是比传统 ntp 更稳健的时间服务。

2. 基本监控工具

用的 netdata

提供 UI 监控机器的 CPU/内存/网络等。

📦 六、其他基础设置

1. 设置时区

1

sudo timedatectl set-timezone Asia/Shanghai

可根据地域调整。

2. 配置 Swap（如果是无 Swap 系统）

1
2
3
4

sudo fallocate -l 4G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile

并写入 /etc/fstab 保持重启后生效。