阿里云轻量服务器买好后必做的5项安全配置

27次阅读
没有评论

共计 2042 个字符,预计需要花费 6 分钟才能阅读完成。

一、这篇文章能帮你解决什么问题?

很多新手买完服务器,直接就开始装宝塔面板、装网站,完全不做安全配置,结果没过几天服务器就被黑客入侵了:要么被用来挖矿,卡到不行;要么数据被删,损失惨重。这篇文章教你5项必做的安全配置,5分钟就能搞定,打好服务器安全基础,避免99%的常见攻击。

二、这篇文章适合哪些人看?

  • 刚买了阿里云轻量服务器的纯新手
  • 服务器还没做安全配置的站长
  • 之前服务器被攻击过的用户

三、为什么必须做安全配置?

互联网上每天都有无数黑客的自动化扫描工具在全网扫服务器的默认端口、弱密码,如果你用默认配置,相当于你家大门没关,还在门口贴了“欢迎来偷”的纸条,被攻击是早晚的事。花5分钟做这几个配置,就能避免99%的常见攻击,非常划算。

四、5项必做安全配置,一步一步操作

1. 重置服务器默认密码,设置强密码

阿里云服务器默认生成的密码一般比较简单,先改成强密码:

  1. 打开阿里云控制台,找到你的轻量服务器实例
  2. 点击「重置实例密码」
  3. 设置一个包含大小写字母+数字+特殊符号的密码,长度不少于8位,比如Admin@2026!这种格式
  4. 保存之后重启服务器生效

2. 配置安全组,只开放需要用的端口

安全组相当于服务器的防火墙,默认只开放了22(SSH端口)和3389(远程桌面端口),我们需要开放建站需要的端口:

  1. 在服务器实例页面找到「安全组」配置
  2. 点击「添加规则」,依次开放以下端口:
    80(HTTP访问端口)、443(HTTPS访问端口)、8888(宝塔面板默认端口)、888(宝塔phpMyAdmin端口)
  3. 来源都填0.0.0.0/0,保存即可

❌ 注意:不要开放不需要的端口,开放的端口越多,风险越大。

3. 修改SSH默认端口,避免被暴力破解

SSH默认端口是22,是黑客扫描的重灾区,改成一个不常用的端口,比如10022:

  1. 用SSH工具登录服务器(推荐用FinalShell,免费好用)
  2. 编辑SSH配置文件:vi /etc/ssh/sshd_config
  3. 找到#Port 22这一行,去掉#,改成Port 10022(端口可以自己选10000-65535之间的数字)
  4. 保存退出,重启SSH服务:systemctl restart sshd
  5. 回到安全组配置,开放10022端口,测试用新端口可以登录之后,再关掉安全组里的22端口

4. 禁止root账号直接登录

黑客一般都会尝试暴力破解root账号的密码,禁止root直接登录,用普通账号登录之后再切换到root,更安全:

  1. 创建普通账号:useradd 你的用户名,比如useradd admin
  2. 给普通账号设置密码:passwd 你的用户名,设置一个强密码
  3. 再次编辑SSH配置文件:vi /etc/ssh/sshd_config
  4. 找到PermitRootLogin yes,改成PermitRootLogin no
  5. 保存退出,重启SSH服务:systemctl restart sshd
  6. 测试用普通账号可以登录,并且可以用su root切换到管理员账号之后,再退出登录

5. 更新系统软件包,修复安全漏洞

新安装的系统有很多已知的安全漏洞,先更新到最新版本:

  • 如果你选的是CentOS系统:执行yum update -y
  • 如果你选的是Ubuntu系统:执行apt update && apt upgrade -y

等待更新完成就行,一般几分钟就好。

五、避坑指南

  • ❌ 修改SSH端口之后,一定要先在安全组开放新端口,测试可以登录之后再关掉22端口,否则你自己也登不上服务器了
  • ❌ 禁止root登录之前,一定要先创建普通账号,测试普通账号可以正常登录并且可以切换到root,否则会被锁在服务器外面
  • ❌ 不要用弱密码,不要用123456、admin这种常见密码,一定要用强密码
  • ❌ 不要开放不需要的端口,比如数据库3306端口,不要对外开放,只允许本地访问就行

六、FAQ常见问题

Q1:我不做这些配置行不行?会不会出事?

A:大概率会出事,互联网上的扫描是24小时不间断的,不做配置的服务器一般一周之内就会被攻击,轻则卡到用不了,重则数据全部丢失,5分钟就能搞定的事,不要偷懒。

Q2:修改SSH端口之后登不上服务器了怎么办?

A:不用慌,阿里云控制台自带VNC远程登录功能,用VNC登录服务器,把配置改回去就行。

Q3:安全组来源填0.0.0.0/0是什么意思?安全吗?

A:就是允许所有IP访问这个端口,如果你只有固定IP登录服务器,可以填你的固定IP,更安全;如果是动态IP,填0.0.0.0/0就行,配合强密码和修改后的端口,已经足够安全。

Q4:更新系统会不会影响后面装宝塔面板?

A:不会,更新系统只是修复安全漏洞,反而会让系统更稳定,对后续安装软件没有任何影响。

七、总结

这5项安全配置是买完服务器之后必须做的,花5分钟就能搞定,能避免99%的常见攻击,打好安全基础再装其他软件,后续就不用担惊受怕了。如果你觉得这些操作太麻烦,不想自己折腾命令行,也可以找我帮你完成服务器基础配置和全套建站部署,你拿到手就能直接发布内容。

下一篇教程:阿里云轻量服务器安装宝塔面板图文教程(2026最新)

正文完
SSH配置 安全组配置 建站教程 服务器安全 阿里云教程
发表至: 从 0 到 1 建站
2026年5月12日
 0
宝塔一键安装WordPress教程:新手也能一次成功
阿里云轻量服务器安装宝塔面板图文教程(2026最新)
2026新手建站完整指南:阿里云+宝塔+WordPress+Puock 全流程介绍
宝塔面板怎么一键部署WordPress运行环境?5分钟搞定
评论(没有评论)
验证码