Vultr VPS 初始化安全设置指南：创建非 root 用户、SSH 密钥登录、开启防火墙等

这篇指南将带您完成 Vultr VPS（以 Ubuntu 24.04/Debian 12 为例，这是最主流的选择）的初始化安全设置。优惠推荐：《2026年1月 Vultr 最新优惠码汇总：最高免费赠送 $300 美金》。

新开通的 VPS 在上线后的几分钟内就会被全球各地的爬虫和僵尸网络扫描。请务必在部署网站或业务之前，先完成以下步骤。

🛠️ 第一步：更新系统软件源

拿到服务器的第一件事，是确保所有软件都是最新的，修补已知的安全漏洞。

# 更新软件包列表并升级所有软件
apt update && apt upgrade -y

👤 第二步：创建非 Root 用户

永远不要直接使用 root 用户运行日常服务。如果 root 权限被攻破，黑客将拥有服务器的生杀大权。

1. 创建新用户（请将 vultr_user 替换为您喜欢的名字，尽量复杂一点，不要用 admin）：

   adduser vultr_user
   

   系统会提示您设置密码，请输入一个强密码。

2. 赋予 Sudo 权限（让该用户可以执行管理员命令）：

   usermod -aG sudo vultr_user
   

3. 测试切换：

   su - vultr_user
   # 如果能成功切换，说明创建成功
   exit
   

🔑 第三步：配置 SSH 密钥登录（最关键的一步）

密码容易被暴力破解，密钥几乎无法破解。

1. 在您自己的电脑上生成密钥（如果您还没有）

在您的本地电脑（Windows CMD/PowerShell 或 Mac 终端）执行：

ssh-keygen -t ed25519 -C "your_email@example.com"

一路回车即可。生成的公钥通常位于 ~/.ssh/id_ed25519.pub。

2. 将公钥上传到 Vultr 服务器

方法 A：使用命令（推荐 Mac/Linux/Win10+ 用户）

在本地电脑执行：

ssh-copy-id vultr_user@<您的服务器IP>

方法 B：手动复制（通用）

1. 在本地电脑打开公钥文件，复制里面的内容（以 ssh-ed25519 开头）。

2. 在 服务器 上（确保当前是 vultr_user 用户，如果不是，先 su - vultr_user）：

   mkdir -p ~/.ssh
   chmod 700 ~/.ssh
   nano ~/.ssh/authorized_keys
   # 粘贴您的公钥，然后按 Ctrl+O 保存，Ctrl+X 退出
   chmod 600 ~/.ssh/authorized_keys
   

3. 禁用密码登录和 Root 登录

⚠️ 警告：执行此步前，请务必新开一个终端窗口，测试即使用 vultr_user 配合密钥能否成功登录！确保万无一失后再继续。

修改 SSH 配置文件：

sudo nano /etc/ssh/sshd_config

找到并修改（或添加）以下行：

PermitRootLogin no          # 禁止 root 直接登录
PasswordAuthentication no   # 禁止使用密码登录（强制用密钥）
PubkeyAuthentication yes    # 允许密钥登录

保存并重启 SSH 服务：

sudo systemctl restart ssh

🛡️ 第四步：配置防火墙 (UFW)

Ubuntu/Debian 自带的 UFW (Uncomplicated Firewall) 非常好用。我们将遵循“拒绝所有，只允许特定”的原则。

# 1. 允许 SSH 连接 (默认端口22)
# ⚠️ 如果您修改过 SSH 端口，请务必允许新端口！
sudo ufw allow 22/tcp

# 2. 允许 Web 服务 (如果您要建站)
sudo ufw allow 80/tcp   # HTTP
sudo ufw allow 443/tcp  # HTTPS

# 3. 启用防火墙
sudo ufw enable

系统会提示可能中断 SSH 连接，输入 y 确认。

👮 第五步：安装 Fail2Ban (防暴力破解)

即使禁用了密码登录，日志里依然会有成千上万次失败的连接尝试，占用系统资源。Fail2Ban 可以自动封禁这些恶意 IP。

1. 安装：

   sudo apt install fail2ban -y
   

2. 配置（创建副本以防覆盖）：

   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
   

   Fail2Ban 默认配置通常已经足够保护 SSH。它会自动监控 SSH 日志，如果某个 IP 尝试错误次数过多，会被关进“小黑屋”一段时间。

3. 启动服务：

   sudo systemctl enable fail2ban
   sudo systemctl start fail2ban
   

🚀 额外福利：开启 BBR 加速 (针对 Vultr High Frequency)

既然您买了高性能服务器，开启 Google BBR 拥塞控制算法可以显著提升网络吞吐量和降低延迟。

Linux 内核 4.9+ 已内置 BBR，直接开启即可：

echo "net.core.default_qdisc=fq" | sudo tee -a /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

验证是否开启成功：

sysctl net.ipv4.tcp_congestion_control
# 输出应为：net.ipv4.tcp_congestion_control = bbr

🆘 救命稻草：如果我不小心把自己锁在门外了怎么办？

很多新手在配置 SSH 时会不小心配置错误导致无法登录。

别慌，Vultr 提供了 VNC Console (控制台)：

1. 登录 Vultr 网页后台。

2. 点击您的服务器实例。

3. 点击右上角的显示器图标 (View Console)。

4. 这个控制台相当于直接把显示器接在服务器上，不走 SSH 协议，所以不受防火墙和 SSH 配置影响。您可以在这里登录并修正配置。