刚买的云主机怎么设置？

刚买的云主机（云服务器）通常需要经过几个关键步骤才能投入使用，下面是一套标准且安全的初始化设置流程，涵盖了安全加固、远程连接、基础环境配置等核心环节（默认以Linux系统为例，因为这是最常用的场景，Windows的设置思路类似但界面不同）。

第一步：登录云厂商控制台，完成基础操作

1、重置密码：在云厂商（阿里云、腾讯云、华为云等）的控制台里找到你的云主机，点击“重置密码”（或“修改密码”），这是登录系统的钥匙，务必设置一个强密码（包含大小写字母、数字、特殊字符，长度12位以上）。注意：重置密码后需要重启服务器才能生效。

2、配置安全组（防火墙）：这是最关键的一步，相当于云主机的“防盗门”。

默认规则：通常只开放了22 端口（SSH登录端口，Linux）或3389 端口（远程桌面，Windows）。

必须操作：添加入方向规则，开放你未来会用到的端口，

22（SSH，Linux）：建议不要将来源IP设为0.0.0.0/0（即全网开放），而是只允许你当前电脑的IP地址访问，如果必须全网开放，务必使用密钥登录（见下文）。

80（HTTP） 和443（HTTPS）：如果要建网站，必须开放给0.0.0.0/0。

3306（MySQL）、6379（Redis） 等数据库端口：绝对不要开放给0.0.0.0/0，只允许内网IP或特定办公IP访问。

- 如果你不确定需要哪些端口，一个安全的方法是先全部关闭入方向规则，只在需要时打开特定端口。

第二步：远程连接到云主机

对于 Linux 系统：

推荐方式（安全首选）：密钥对登录，在云厂商控制台创建密钥对，下载私钥文件（.pem 或.ppk），然后绑定到你的云主机，这样即使密码泄露也无法登录。

传统方式：使用 SSH 客户端（如 Windows 上的PowerShell、Terminal、Putty，Mac/Linux 的终端）。

命令：ssh root@你的公网IP

输入你设置好的密码（或使用密钥文件）。

对于 Windows 系统：

- 使用 Windows 自带的远程桌面连接（mstsc.exe）。

- 输入公网IP，然后输入你设置的管理员账号密码（通常是Administrator）。

第三步：登录后的系统初始化设置（以 Ubuntu/Debian/CentOS 为例）

1、更新系统软件包：这是避免已知漏洞的最基础操作。

    # Ubuntu / Debian
    sudo apt update && sudo apt upgrade -y
    # CentOS / Rocky Linux / AlmaLinux
    sudo yum update -y   # 或 sudo dnf update -y

2、创建普通用户并赋权：永远不要直接用root 用户进行日常操作（风险极高）。

    # 创建一个新用户，例如叫 “admin”
    adduser admin
    # 会提示设置密码，按提示完成
    # 将这个用户加入 sudo 组，获得管理员权限
    usermod -aG sudo admin   # Ubuntu/Debian
    # usermod -aG wheel admin   # CentOS/RHEL
    # 切换到新用户
    su - admin

3、配置 SSH 安全策略（强烈建议）：修改/etc/ssh/sshd_config 文件。

    sudo vim /etc/ssh/sshd_config

- 找到PermitRootLogin，将值改为no（禁止root登录）。

- 找到PasswordAuthentication，如果你使用了密钥登录，可以将其改为no（禁止密码登录，防暴力破解）。警告：确保你的密钥已配置好再改！

- 如果想改SSH端口（比如改成2222），找到Port 22，改为Port 2222，然后记得去云厂商安全组里放行2222 端口。

- 保存文件后，重启SSH服务：

        sudo systemctl restart sshd   # 或 service sshd restart

新开一个终端窗口测试能否用新用户和（如果改了）新端口登录，确认没问题再关闭旧的连接。

第四步：安装常用软件和基础环境

根据你的用途，安装必要的软件：

建站（Web Server）：

- Nginx / Apache：sudo apt install nginx 或sudo yum install nginx

- 数据库（MySQL / MariaDB / PostgreSQL）

- 编程语言环境（PHP, Python, Node.js, Java 等）

开发环境：

- Git, Docker, Node.js, Python3-pip 等

安全工具：

Fail2ban：自动屏蔽尝试暴力破解SSH的IP。

        sudo apt install fail2ban   # 或 yum install

安装后通常无需配置即可工作，它默认监控SSH日志。

第五步：验证和监控

1、检查端口监听：确保你的服务（如 Nginx 监听 80 端口）正在监听。

    sudo netstat -tulpn | grep LISTEN
    # 或使用 ss -tulpn

2、测试外部访问：用浏览器访问http://你的公网IP，如果看到欢迎页（如 Nginx 的 "Welcome to nginx"），说明 Web 环境配置正确，如果打不开，优先检查安全组规则是否放行了80端口。

3、设置云监控：在云厂商控制台，开启“云监控”或“基础监控”，设置CPU、内存、磁盘使用率告警，比如设置当CPU > 90% 时短信通知你，可以及时发现异常（如被攻击或挖矿程序）。

1、重置系统密码后务必重启服务器。

2、安全组默认只开22或3389端口，其他端口（如80、443、数据库）需要你手动、按需开放。

3、永远不要用root直接登录，创建普通用户并配sudo。

4、如果只是临时测试，可以使用密码登录，但如果要长期使用或放公网，立刻配置密钥登录 + 禁用密码登录。

5、更新系统补丁是第一道防线，不要跳过。

6、遇到任何连接不上：先看云厂商控制台的安全组规则，再看系统内防火墙（iptables /ufw /firewalld）策略。

按照这个流程走完，你的云主机就算基本“装修”完毕，可以安全地安装了，如果有具体用途（比如装WordPress、搭梯子、跑Python脚本），可以再针对性补充配置。

文章摘自：https://idc.huochengrm.cn/zj/26265.html