我有个习惯,不管是买来建站、跑项目还是其他用途,新VPS到手之后绝对不会直接上手部署业务。原因很简单:部分服务商的预装系统不够纯净,甚至可能带有监控组件;不测试就投入使用,后期出了性能瓶颈或网络问题,根本搞不清楚是商家超售还是软件配置的问题。
花一两个小时走完这套流程,能省掉后期大量排查时间。
第一步:验机,先摸清服务器底细
SSH连上去之后,第一件事不是装软件,而是跑测试脚本。核心目的有三个:
核对配置:CPU型号、内存大小、硬盘IO是否和商家宣传一致。GB5单核跑分太低基本可以判断超售了,硬盘读写速度低于100MB/s说明是垃圾盘,不适合跑数据库或高负载应用。
网络体检:三网回程线路质量,是CN2 GIA还是普通163线路,晚高峰丢包率比带宽数字更能说明实际体验。有些商家会藏路由或者大小包,测试脚本能暴露出来。
解锁检测:如果买的是落地机或解锁机器,需要确认Netflix、Disney+等流媒体平台的IP解锁状态。
我通常选其中一个脚本跑:
方案A:NQ测试脚本,输出简洁,适合快速看硬件基础状态:
bash <(curl -sL https://run.NodeQuality.com)
方案B:融合怪测试脚本(我更常用这个),包含CPU跑分、硬盘读写、流媒体解锁检测,信息最全:
bash <(wget -qO- --no-check-certificate https://gitlab.com/spiritysdx/za/-/raw/main/ecs.sh)
测试数据只作参考,跑分和实际使用体验不会完全一致,但至少能发现明显的超售问题。
第二步:DD重装纯净系统
哪怕商家已经提供了Debian 12镜像,我也会自己重装一遍。理由很直接:确保内核是官方原版,彻底清除商家可能预装的监控代理或多余进程。国内某些云服务商的镜像里带着各种后台进程,不重装你根本不知道跑着什么东西。
我用的是科技Lion的脚本,集成度高,支持快速重装为Debian、Ubuntu等主流系统,用习惯了懒得换:
bash <(curl -sL kejilion.sh)
进入菜单后选择重装系统,指定Debian 12。
重要提示:重装完成后SSH会断开,等5到10分钟再重新连接。连上去之后第一件事是改掉默认密码,脚本生成的初始密码通常是固定值(比如LeitboGi0),不改的话分分钟被扫描爆破:
passwd
第三步:基础安全加固
公网环境真的很恶劣,我试过不做任何安全配置的机器,SSH日志里几分钟内就出现了大量暴力破解尝试。这三件事是每台机器的标配,一步都不能省。
改SSH端口,把默认22端口改到20000到65535之间的高位端口,能过滤掉99%的无差别自动化扫描:
nano /etc/ssh/sshd_config
# 找到 #Port 22,改成 Port 你选的端口号
systemctl restart sshd
配置SSH密钥登录并禁用密码登录,密钥登录基本杜绝了撞库和暴力破解的可能性。在本地生成密钥对:
ssh-keygen -t ed25519 -C "your_email"
ssh-copy-id -p 你的SSH端口 root@服务器IP
确认密钥登录成功后,禁用密码登录:
nano /etc/ssh/sshd_config
# PasswordAuthentication yes 改为 no
systemctl restart sshd
配置UFW防火墙和Fail2ban:
# UFW防火墙
ufw allow 你的SSH端口/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
# Fail2ban自动封禁恶意IP
apt install fail2ban -y
systemctl enable fail2ban
systemctl start fail2ban
第四步:系统环境初始化
安全配置做完之后,做几个基础环境设置,为后续部署打好底子。
更新软件包并校准时区,有时候软件装不上去,先执行一遍更新就能解决:
apt update && apt upgrade -y
timedatectl set-timezone Asia/Shanghai
配置Swap虚拟内存,内存小的机器必做,我自己的习惯是开内存大小1到2倍的Swap:
fallocate -l 2G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo '/swapfile none swap sw 0 0' >> /etc/fstab
需要说明的是,Swap本质是用存储空间模拟内存,读写速度比真实内存差很多,只是防止OOM崩溃的最后一道防线,内存大的机器开不开都行。
修改DNS(按需执行),部分海外服务商默认DNS解析国内域名速度很慢,我习惯改成Google和Cloudflare的公共DNS:
sudo tee /etc/resolv.conf <<EOF
nameserver 8.8.8.8
nameserver 1.1.1.1
nameserver 2001:4860:4860::8844
nameserver 2606:4700:4700::1111
EOF
特别注意:如果你买的是带DNS解锁功能的特殊VPS,商家通常已经配置好了专用DNS服务器。这种情况下千万不要改DNS,改了流媒体解锁直接失效。搬瓦工的机器默认DNS解析延迟有时候确实有问题,可以改;普通国内云服务器按需决定。
第五步:内核优化与网络加速
Debian 12默认内核已经开启了BBR,但针对高延迟、高丢包的国际网络环境,额外的TCP参数调优能进一步提升吞吐量。这步说实话因人而异,有人开了明显快,有人开了反而更慢,不是必须的,但值得试一下。
简易方案:Neko的TCP优化脚本,选推荐配置就行,不需要懂参数:
bash <(curl -L https://raw.githubusercontent.com/chiakge/Linux-NetSpeed/master/tcp.sh)
进阶方案:迷之调优(https://tcp.xteko.com),根据服务器内存和线路延迟生成专属优化命令,会自动备份原配置,效果不好可以随时回滚。我更喜欢这个方案,自定义程度更高。
走完这五步,机器才算交到自己手里
| 步骤 | 目的 | 是否必做 |
|---|---|---|
| 验机测试 | 确认配置真实,发现超售问题 | ✅ 必做 |
| DD重装系统 | 获得干净底层环境 | ✅ 推荐 |
| 安全加固 | 防止被入侵沦为肉鸡 | ✅ 必做 |
| 系统初始化 | 基础环境配置到位 | ✅ 必做 |
| 网络优化 | 榨干机器网络性能 | ⚡ 按需 |
验机让你心里有数,知道花的钱买到了什么;DD系统给一个干净的起点;安全加固让你玩服务器没有后顾之忧;系统初始化和网络优化则是把机器的潜力发挥出来。
走完这套流程之后,不管是建站、跑自动化工具还是部署其他服务,心里都踏实很多。