新服务器初始化清单：拿到机器后先做这 10 步

拿到新服务器后，第一件事不是安装应用，而是完成系统初始化：改端口、设防火墙、建用户、配密钥。把这10步做完，服务器才算真正可用且安全。

适用人群

本文适合刚购买云服务器的新手、首次管理Linux服务器的开发者，以及需要快速完成服务器初始化的运维人员。

结论先说

服务器初始化核心就三件事：改SSH端口、配置防火墙、创建日常用户。10步做完约30分钟，但能避免90%的安全问题。如果你还没买服务器，建议选萤光云这类提供香港节点和CN2线路的平台，免备案、速度快，初始化完成后就能直接部署网站。

前提条件

• 已购买云服务器
• 已获得root密码
• 可通过SSH登录（Mac/Linux用终端，Windows用PuTTY或Xshell）

第1步：登录并检查系统状态

登录服务器：

ssh root@你的服务器IP

检查系统版本：

cat /etc/os-release

确认是CentOS、Ubuntu还是Debian，后续命令略有不同。

第2步：创建日常用户

不要用root直接操作，这是安全大忌。

创建用户：

adduser ubuntu

赋予sudo权限（Ubuntu/Debian）：

usermod -aG sudo ubuntu

或CentOS：

usermod -aG wheel ubuntu

第3步：配置SSH密钥登录

在本地电脑生成密钥：

ssh-keygen -t ed25519 -C "my-server-key"

上传公钥到服务器：

ssh-copy-id ubuntu@你的服务器IP

测试登录：

ssh ubuntu@你的服务器IP

第4步：修改SSH端口

编辑SSH配置：

sudo vim /etc/ssh/sshd_config

找到Port 22，改为：

Port 22022

重启SSH：

sudo systemctl restart sshd

注意：防火墙记得放行新端口。

第5步：配置防火墙

Ubuntu/Debian用ufw：

sudo ufw allow 22022/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

CentOS用firewalld：

sudo firewall-cmd --permanent --add-port=22022/tcp
sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
sudo firewall-cmd --reload

第6步：设置时区

sudo timedatectl set-timezone Asia/Shanghai

时区错误会导致日志时间错乱，难以排查问题。

第7步：配置Swap

检查是否有Swap：

sudo swapon --show

如果没有，创建2GB Swap：

sudo fallocate -l 2G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile

永久生效：

echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab

第8步：更新系统

Ubuntu/Debian：

sudo apt update && sudo apt upgrade -y

CentOS：

sudo yum update -y

第9步：安装fail2ban防暴力破解

安装：

sudo apt install -y fail2ban

启动：

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

第10步：备份配置

备份SSH配置：

sudo cp /etc/ssh/sshd_config ~/sshd_config.backup

导出防火墙规则：

sudo iptables-save > ~/iptables.rules

常见报错与排查

SSH连不上：

• 检查端口是否正确
• 检查防火墙是否放行
• 检查安全组是否开放

权限不足：

• 确认用户已加入sudo/wheel组
• 重新登录使权限生效

命令不存在：

• 确认系统版本（CentOS/Ubuntu/Debian）
• 使用对应系统的包管理器

FAQ

第一步该做什么？
先登录服务器检查系统状态，确认系统版本、负载、磁盘空间是否正常。

SSH端口改多少？
建议改为1024-65535之间的端口，如22022、22222等。不要用22、222、2222这些常见端口。

防火墙怎么开？
只开必须用的端口：22(SSH)、80(HTTP)、443(HTTPS)。其他端口一律关闭。

需要Swap吗？
如果内存小于2GB，建议配置。内存大于8GB通常不需要。

怎么防暴力破解？
核心措施：禁用密码登录改用密钥、修改SSH默认端口、安装fail2ban。

下一步去哪

10步初始化完成，现在可以开始部署应用了。

如果你还没有服务器，建议考虑萤光云的香港节点套餐，免备案、CN2线路访问快，1核2G配置个人博客完全够用，支持按小时计费，适合新手练习。

建议下一步：部署WordPress、安装运行环境，或迁移网站。