写一写拿到一台vps以后要做的事情

租用服务器在现在这个年代应该算是很平常的事情，刚刚工作的时候需要的是一台性能强劲的电脑，高线程、算力高、内存大。都是那个时代的标准配置，随着技术的不断创新，租用服务器慢慢的成为了主流，买一张无限流量的流量卡再租用一台高可用的vps配合上一台二手笔记本对于大部分的要求都能满足，避免了买一台高性能电脑几年后只能换盆的悲剧事件。

对于学生以及工作者来说，租用一台性能差不多的vps真的很够用，比如腾讯，阿里巴巴都是很不错的租赁平台，还有就是amazon也是挺不错的，比如你想做机器学习，前期都是够用的，我租赁的一年1K多点，可以满足我部分要求。个人感谢挺不错的。那么下面说一说我们租好vps以后需要做的事情。

第一件事：

更新操作系统，我试用centos比较习惯，下面的例子都以centos为例：

更新源文件

# 进入源配置目录
cd  /etc/yum.repos.d
# 创建备份文件夹
mkdir repobak
# 将原来的配置源文件放到备份文件夹中
mv * repobak

# 这个是repo的
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
# 这个是epel的
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

# 清空yum缓存
yum clean all
# 创建新的缓存
yum makecache
#安装软件拓展
yum install -y epel-release

第二步：

yum -y update

第三步：

删除特殊的用户和组

特殊用户：adm，lp，sync，shutdown，halt，news，uucp，operator，games，gopher等等

特殊的组：adm，lp，news，uucp，games、dip、pppusers，popusers，slipusers等等

这个不是固定的取决你服务器要做什么比如你想做个网站，你就可以不删除apache组。

userdel 用户名
groupdel 组名

第四步：

关闭系统不需要的服务

根据你自己对于整体服务器的要求你可以删除你不需要默认安装的服务

建议开启的服务：

acpid，apmd，kudzu，crond，atd，keytables，iptables，xinetd，xfs，network，sshd，syslog

第五步

关闭密码登陆换成证书登陆

#生成证书
ssh-keygen -t rsa
#将生成的证书放入~/.ssh/
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
#更改authorized_keys权限
chown -R 0700  ~/.ssh
chown -R 0644  ~/.ssh/authorized_keys
#进入/etc/ssh/sshd_config后更改
PermitRootLogin yes
RSAAuthentication yes
StrictModes no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
#重启服务
systemctl restart sshd.service

这里一定要注意，PasswordAuthentication no这一项是关闭密码登陆，这个可以先不关闭，重启服务以后，测试证书登陆时候成功，成功后再更改这一项。ssh-keygen -t rsa 这个命令执行完以后会生成2个文件，一个以.pub结尾的为公钥，另一个为私钥，私钥需要下载到自己的电脑上配置好才能登陆，很简单这里就不说了，这个地方还有一个点非常重要，一定要更改默认的22端口。要不天天有人尝试撞大运。

第六步：

配置防火墙。这个防火墙一定要开启。要不就是你花钱别人用你东西你还不知道。

这个没什么好说的无非是开放端口和关闭端口，你要选择出来你的程序都需要那些端口，你就开放那些端口，没必要的端口一定要关闭。

常用命令你可以看这个:

firewalld开放端口_weixin_46106069的博客-CSDN博客_firewalld开放端口

第七步：

因为是自己使用，没什么好说的，你访问我也好ping我也好，我都拒绝掉，我直接拒绝ip地址，别说你想链接我，ping我都不行。

#更改防火墙文件配置
vi /etc/firewalld/firewalld.conf
#更改属性
LogDenied=all
kern.* /var/log/firewalld.log
#配置滚动日志
vi /etc/logrotate.d/syslog
#加入属性
/var/log/firewalld.log
#重启服务
systemctl restart rsyslog.service

这样我们就可以根据防火墙的日志来做出最基本的操作。

#创建集合
firewall-cmd --permanent --new-ipset=sshblock --type=hash:ip
#添加IP地址
firewall-cmd --permanent --ipset=sshblock --add-entry=121.122.123.105
#删除ip地址
firewall-cmd --permanent --ipset=sshblock --remove-entry=121.122.123.105

通过防火墙拒绝的ip地址，将ip地址加入到集合中，然后通过命令拒绝这些ip的访问就可以了

firewall-cmd --permanent --ipset=sshblock --add-entry=ip;

为了避免麻烦，还需要采取禁止ping

#禁止ping
firewall-cmd --add-rich-rule='rule protocol value=icmp drop' --permanent
#重启生效
firewall-cmd --complete-reload

我还写了2个脚本，关于我的vps被占用的问题_zilang625的博客-CSDN博客给大家参考下，感觉可以就用用。我感觉挺不错的。

第八步：

人外有人天外有天，在我们做到我能做的事情的时候，有的人是防不住的，没事就上来祸害你的大有人再，这个时候就需要经常的上来溜达溜达，删除一些非法的小偷

#查看系统中有哪些用户
cut -d : -f 1 /etc/passwd
#查看系统中哪些用户可以登陆
cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1

找到以后删除他，当然你也可以帮他改改密码让他怀疑人生。

以上就是我对我vps的维护，没别的，一些比较基础的东西，大家可以耐心的看看，当需要的时候就自己拿来用用，希望对大家有帮助。