新购Linux服务器安全备忘清单

修改默认主机名

root@drls-260620:~#
# 将 "new-hostname" 替换为你想要设置的新主机名
hostnamectl set-hostname new-hostname

# 查看当前的主机名状态，确认是否修改成功
hostnamectl

修改默认端口号

root@drls-260620:~#

打开 SSH 配置文件：在终端中输入以下命令，然后按回车键：

nano /etc/ssh/sshd_config

修改端口号：找到写着 #Port 22 的这一行，把 22 删掉，改成你想要的端口，比如 26022。

修改完之后，这一行应该变成这样（前面不能有 # 号）：

Port 26022

保存并退出：在 nano 编辑器里保存文件，需要用到键盘上的快捷键组合：

1. 按下 ​Ctrl + O​（字母 O，不是数字 0）。
2. 屏幕最底下的白条会提示你确认文件名，这时候​直接按一次回车键 (Enter)​。
3. 按下 Ctrl + X 退出编辑器，此时你应该又看到了熟悉的 root@drls-260620:~# 提示符。

最后重启 SSH 服务使之生效：在终端中输入以下命令，然后按回车键：

systemctl

输入完回车后，通常不会有任何提示直接跳到下一行，这就说明重启成功了。

使用密钥对登录

第一阶段：在本地电脑生成密钥对

请在你的本地电脑（自己的电脑，不是服务器）上操作：

1. 打开本地终端​：按下键盘上的 Win + R 键，输入 cmd 并回车。
2. ​生成密钥对​：在弹出的黑窗口中，输入以下命令并按回车：ssh-keygen -t ed25519
3. 一路敲回车：系统会询问你三个问题（保存路径、私钥密码、确认密码），看到屏幕上出现一个字符组成的方块图案，说明生成成功。

第二阶段：将公钥部署到服务器

登录服务器，在服务器上添加公钥

1. 公钥写入 ~/.ssh/authorized_keys
2. 公钥权限 600
3. 目录权限 700

第三阶段：测试密钥登录（核心安全检查）

注意：在确保密钥登录成功之前，千万不要关闭当前的连接窗口！

打开一个新的本地电脑终端窗口，或者在你的 SSH 软件中新建一个连接，测试使用密钥登录：

如果成功登录，说明“指纹锁”已完美生效，请继续执行第四阶段。
如果提示需要密码或报错，请仔细检查第二阶段的权限设置和公钥内容是否完整。

第四阶段：修改配置文件，彻底禁用密码

既然密钥已经测试通过，现在可以安全地封死密码登录的后路了。在服务器命令行中操作：

# 这一行是把带有注释的密码允许项改为 no
sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

# 这一行是把没有注释的密码允许项也改为 no
sed -i 's/^PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

# 重启 SSH 服务，让配置瞬间生效
systemctl restart sshd

系统更新标准执行命令

更新软件源列表：此命令不会修改系统文件，仅用于从服务器同步最新的软件清单。

apt update

升级所有已安装的系统组件和软件：此命令会根据第一步获取的清单，自动下载并安装所有可用的安全补丁和软件更新。-y 参数表示在所有确认提示中自动输入 yes。

apt upgrade -y

清理冗余依赖（可选操作）：系统升级后，可能会遗留一些旧版本不再使用的依赖包。执行此命令可以释放磁盘空间。

apt autoremove -y