新服务器买完 24 小时内要做什么？安全加固清单

新服务器最危险的阶段，往往是刚买完到正式上线之间。默认 SSH、弱密码、全开安全组、没备份、没更新系统，任何一项都可能让后续部署变成补窟窿。本文按“买完第一天”整理一份可执行清单，适合个人站长和自托管新手。

第一步：先更新系统和确认信息

登录后先确认系统版本、时间和更新：

cat /etc/os-release
timedatectl
sudo apt update && sudo apt upgrade -y

时间不同步会影响证书、日志和定时任务。系统长期不更新会留下已知漏洞。刚买的新机器不一定是最新镜像，所以不要跳过这一步。

配置怎么选更稳

如果只是学习 Linux，1 核 2G 足够；准备跑 Docker、反代、数据库和两个以上应用，建议从 2 核 4G 起步；游戏服、相册、网盘则看 4 核 8G 或更高。第一天不需要把所有服务装完，但要留出备份和日志空间。

我会把个人建站和自托管入门环境放在雨云服务器 rainyun-com的 2 核 4G 机型上，既不会太贵，也比最低配更有余量。注册填优惠码 2026off 领 5折，先把基础安全做好，再慢慢加服务。

第二步：收紧 SSH

先创建普通用户，再配置密钥登录。不要急着禁用 root，先确认新用户能登录、能 sudo，再改 SSH 配置：

sudo adduser deploy
sudo usermod -aG sudo deploy
sudo mkdir -p /home/deploy/.ssh
sudo nano /etc/ssh/sshd_config

常见设置包括关闭密码登录、禁止 root 远程登录、改默认端口。改完一定先保留当前 SSH 窗口，再开一个新窗口测试，避免把自己锁在门外。

第三步：只开放必要端口

云安全组和系统防火墙都要看。最小入口通常是 SSH、80、443。数据库、Redis、管理后台不要直接暴露公网。

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status verbose

如果 SSH 改了端口，先放行新端口再断开旧连接。很多事故不是防火墙太复杂，而是顺序错了。

第四步：准备备份和快照

业务上线前就要想好备份，不要等数据重要了才补。至少准备三样：云平台快照、项目目录打包、数据库逻辑导出。第一天可以先创建一个空白快照，作为“干净基线”。

后续部署每个服务时，都记录数据目录和恢复方法。备份不是越多越好，而是能恢复才有意义。

第五步：安装基础工具和监控

建议安装常用工具：

sudo apt install -y curl wget git vim htop jq unzip

再准备一个简单监控，比如 Uptime Kuma 或云平台告警，至少知道机器什么时候离线、磁盘什么时候接近满。小服务器最怕无声失败。

常见问题

Q: 要不要一买来就装宝塔或面板？
A: 可以，但先把 SSH、安全组、备份和系统更新做好。面板是工具，不是安全替代品。

Q: 数据库端口能不能只靠强密码？
A: 不建议。数据库优先只监听本机或内网，公网入口越少越好。

总结

新服务器第一天别急着堆应用，先完成更新、SSH、安全组、防火墙、备份和监控。基础越干净，后面部署越少踩坑。

如果你正在准备第一台云服务器，雨云服务器 rainyun-com适合拿来做入门建站和自托管练习，注册填优惠码 2026off 领 5折。买完先照这份清单做一遍，再开始部署业务更稳。