刚好这两天把几台 VPS 重新整理了一下安全配置，主要是平时被扫得太多了，索性做了一套最基础的加固，顺便记一下流程。 
整体不复杂，就三块：SSH、Fail2Ban、防火墙。 

SSH 先处理掉默认弱点 
新机器第一件事基本都是 SSH。 
我这边做了几个改动： 
默认 22 改成了 2222 
关闭 root 直接登录 
关闭密码登录，只留 key 
配置文件： 
Bash 
nano /etc/ssh/sshd_config 
主要就这几行：

Port 2222 
PermitRootLogin no 
PasswordAuthentication no 
改完记得先确认 key 能正常登录，再重启 SSH： 
Bash 
systemctl restart ssh 
2. Fail2Ban（防爆破） 
装一下： 
Bash 
apt update && apt install -...