原文链接：wmwm.me/article/456…

1. apt update && apt upgrade && apt dist-upgrade更新系统

   第一条命令更新可用的软件包列表，第二条命令安装可用的软件包更新，第三条命令处理软件包依赖关系，安装任何新的依赖项，删除任何不再需要的软件包

2. 在服务器上创建文件/root/.ssh/authorized_keys,然后在本地电脑上执行命令scp ~/.ssh/id_rsa.pub root@<服务器地址>:/root/.ssh/authorized_keys。这句命令的作用是将id_rsa.pub中的内容复制到远程服务器上，如果不行，就手动复制。配置成功后，就不用每次输密码登陆服务器了。

3. 安装常用的工具apt install htop curl fd-find tldr

4. 安装docker，官方教程docs.docker.com/engine/inst… 安装好后，检查开机自启动有没有配置

   systemctl is-enabled docker
   

5. 用vi 打开/etc/vim/vimrc.tiny，输入以下两行： set nocompatible set backspace=2 因为Debian下Vi编辑器，文本输入模式时，不能正确使用方向键和退格键

6. 执行dpkg-reconfigure tzdata设置时区，然后查看/etc/timezone显示的时间是否是你刚才设置的时区，如果不是，就将刚才设置的时区写入到这个文件，比如echo "Asia/Shanghai" > /etc/timezone，最后执行dpkg-reconfigure tzdata重新加载时区

防止ssh被暴力破解

1. 修改ssh端口号

   vi /etc/ssh/sshd_config
   

   在这个文件中加一行Port [端口号]，保存文件后，先别急着重启sshd服务
2. 用ufw防火墙管理工具，把新的ssh端口打开

   # ssh只需要打开tcp协议就够了
   ufw allow [端口号]/tcp
   

   配置好后一定要先用端口扫描工具检测下nmap -p [端口号] [服务器ip地址]，确认端口已经成功开放后，再重启sshd服务systemctl restart sshd
3. 安装fail2ban

   apt update && apt install fail2ban
   

   进入/etc/fail2ban目录，在该目录下，创建jail.local文件，并写入以下内容

   [sshd]
   # To use more aggressive sshd modes set filter parameter "mode" in jail.local:
   # normal (default), ddos, extra or aggressive (combines all).
   # See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
   #mode   = normal
   enabled = true
   port    =  [ssh端口号]
   filter = sshd
   logpath = /var/log/auth.log
   maxretry = 5   # 最大尝试次数
   bantime = -1 # 封禁时间，单位s。-1为永久封禁
   

   启动fail2ban

   systemctl start fail2ban
   # 查看状态
   systemctl status fail2ban
   

   查看fail2ban运行状态

   fail2ban-client status
   fail2ban-client status sshd
   

   添加/取消 ip地址

   # 添加
   fail2ban-client set sshd banip <ip-address>
   # 取消
   fail2ban-client set sshd unbanip <ip-address>
   

开启BBR加速

BBR（Bottleneck Bandwidth and Round-trip propagation time）是一种由Google开发的网络拥塞控制算法，BBR算法通过动态调整拥塞窗口大小和传输速度，更好地利用网络带宽，同时减少网络延迟，从而实现网络加速的效果

1. uname -r查看当前的linux内核版本号，如果版本号大于4.9，直接跳到第四步
2. apt-cache search linux-image | grep $(uname -r)搜索与当前内核版本号匹配的BBR模块，如果没有打印结果，就手动将这两个命令分开来执行。因为随着时间的推移，文件命名规则有可能会改变
3. 使用apt安装刚才找到的模块
4. 打开文件vi /etc/sysctl.conf，然后输入这两行，并wq保存退出

   net.core.default_qdisc=fq
   net.ipv4.tcp_congestion_control=bbr
   

5. 执行sysctl -p
6. 用sysctl net.ipv4.tcp_congestion_control，查看输出结果

   net.ipv4.tcp_congestion_control = bbr
   

   输出这个表示配置成功

本文的后续更新及错误订正会发布在我的网站，防止迷路，建议收藏：wmwm.me