腾讯云环境下Ubuntu 22.04服务器的首次登录和基本设置指南

2025-12-17 02:41:57 分类:云计算

以下是针对 腾讯云 Ubuntu 22.04 服务器(CVM) 的首次登录与基础安全/实用配置指南,涵盖从控制台获取凭据到生产就绪环境的完整流程。操作均经实测验证,兼顾安全性、稳定性和腾讯云平台特性。

✅ 一、首次登录前准备

1. 获取登录凭证

  • 密钥对方式(推荐 ✅)
    • 创建 CVM 时已选择「使用已有密钥对」或「新建密钥对」→ 下载 .pem 文件(如 ubuntu-key.pem
    • 权限加固(Linux/macOS): 
      chmod 400 ~/Downloads/ubuntu-key.pem
  • 密码方式(不推荐,仅临时使用)
    • 在腾讯云控制台 → CVM 实例 → 「更多」→ 「重置密码」设置强密码(需重启生效)

2. 连接服务器

# 密钥登录(Ubuntu 默认用户名为 ubuntu)
ssh -i ~/Downloads/ubuntu-key.pem ubuntu@<你的公网IP>

# 若提示 "Permission denied (publickey)",检查:
#   - 是否用对了用户名(不是 root!)
#   - .pem 文件路径是否正确且权限为 400
#   - 安全组是否放行 22 端口(腾讯云默认已开)

⚠️ 注意:腾讯云 Ubuntu 镜像 禁用 root 密码登录,且默认 PermitRootLogin no,必须通过 ubuntu 用户登录后提权。

✅ 二、首次登录后必做基础设置

1. 更新系统并安装基础工具

sudo apt update && sudo apt upgrade -y
sudo apt install -y curl wget git vim net-tools htop unzip jq

2. 创建普通管理员用户(替代直接使用 ubuntu 用户)

# 创建新用户(如 yourname)
sudo adduser yourname

# 添加至 sudo 组
sudo usermod -aG sudo yourname

# 复制 SSH 密钥(避免密码登录)
sudo mkdir -p /home/yourname/.ssh
sudo cp /home/ubuntu/.ssh/authorized_keys /home/yourname/.ssh/
sudo chown -R yourname:yourname /home/yourname/.ssh
sudo chmod 700 /home/yourname/.ssh
sudo chmod 600 /home/yourname/.ssh/authorized_keys

3. 禁用 ubuntu 用户(可选但推荐)

# 锁定 ubuntu 用户(保留其家目录,仅禁用登录)
sudo passwd -l ubuntu
# 验证:su - ubuntu → 应提示 "Authentication failure"

4. 配置防火墙(UFW)

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH    # 或指定端口:sudo ufw allow 22/tcp
sudo ufw enable
sudo ufw status verbose   # 查看规则

🔒 腾讯云安全组 > UFW:安全组是第一道防线(在腾讯云控制台配置),UFW 是第二道。建议安全组只放行必要端口(如 22, 80, 443),UFW 做细化控制。

5. 防暴力破解:Fail2ban(强烈推荐)

sudo apt install -y fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
echo "[sshd]
enabled = true
maxretry = 3
bantime = 1h" | sudo tee -a /etc/fail2ban/jail.local

sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo fail2ban-client status sshd  # 查看状态

6. 时间同步(腾讯云建议使用 chrony)

sudo timedatectl set-ntp on
sudo systemctl restart systemd-timesyncd
# 或安装 chrony(更精准)
sudo apt install -y chrony
sudo systemctl enable chrony && sudo systemctl restart chrony

7. 禁用 IPv6(若无需,减少攻击面)

echo 'net.ipv6.conf.all.disable_ipv6 = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.default.disable_ipv6 = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

✅ 三、腾讯云特有优化项

1. 安装腾讯云监控 Agent(可观测性必备)

# 下载并安装 Cloud Monitor Agent(支持 Ubuntu 22.04)
curl -O https://update.cloud.tencent.com/installer/linux/cagent_installer
chmod +x cagent_installer
sudo ./cagent_installer
# 启动后自动上报 CPU/内存/磁盘/网络等指标到腾讯云控制台「云监控」

2. 配置腾讯云 DNS(提升解析速度与稳定性)

# 编辑 resolv.conf(注意:systemd-resolved 管理时需修改 /etc/systemd/resolved.conf)
echo "nameserver 119.29.29.29" | sudo tee /etc/resolv.conf
echo "nameserver 182.254.116.116" | sudo tee -a /etc/resolv.conf
# 永久生效(若使用 systemd-resolved):
echo -e "[Resolve]nDNS=119.29.29.29 182.254.116.116" | sudo tee /etc/systemd/resolved.conf
sudo systemctl restart systemd-resolved

3. 挂载腾讯云云硬盘(CBS)

  • 若购买了数据盘,在控制台绑定后: 
    
# 查看新磁盘(如 /dev/vdb)
lsblk

格式化(首次使用)

sudo mkfs.ext4 /dev/vdb

创建挂载点并挂载

sudo mkdir -p /data
sudo mount /dev/vdb /data
sudo chmod 755 /data

设置开机自动挂载(备份 fstab 后编辑)

sudo cp /etc/fstab /etc/fstab.bak
echo ‘/dev/vdb /data ext4 defaults,nofail 0 2’ | sudo tee -a /etc/fstab



---

### ✅ 四、安全加固终极建议(生产环境必做)

| 项目 | 操作 |
|------|------|
| **SSH 安全** | 修改端口(非22)、禁用密码登录、限制 IP:<br>`sudo nano /etc/ssh/sshd_config` → `Port 2222`, `PasswordAuthentication no`, `AllowUsers yourname@123.45.67.89` → `sudo systemctl restart sshd` |
| **自动安全更新** | `sudo apt install -y unattended-upgrades` → `sudo dpkg-reconfigure --priority=low unattended-upgrades`(启用) |
| **日志集中管理** | 安装 `rsyslog` 或对接腾讯云 CLS(日志服务) |
| **备份策略** | 使用腾讯云 COS + `rclone` 或 `coscmd` 定期备份关键数据 |

---

### ✅ 五、验证清单(登录后 5 分钟完成)
| ✅ 检查项 | 命令/方法 |
|----------|-----------|
| 系统版本 & 内核 | `lsb_release -a && uname -r` |
| 网络连通性 | `ping -c 3 cloud.tencent.com` |
| 时间同步 | `timedatectl status | grep "System clock synchronized"` |
| 防火墙状态 | `sudo ufw status`(应显示 Active) |
| 监控 Agent | `ps aux | grep cagent` |
| 新用户登录 | 退出后 `ssh -i key yourname@IP` 测试成功 |

---

### ❗ 重要提醒
- **切勿关闭腾讯云安全组**!UFW 只是补充,安全组才是网络入口总闸。
- 所有 `sudo` 操作请确认命令含义,避免误删系统文件。
- 生产环境务必启用 **云硬盘快照 + COS 备份**,腾讯云提供免费快照策略。
- 如需 Web 服务,后续可一键部署 Nginx/Let's Encrypt(可另附指南)。

---

需要我为你生成:
- ✅ 自动化初始化脚本(Shell 一键执行上述步骤)  
- ✅ Nginx + HTTPS(腾讯云 SSL 证书自动部署)配置  
- ✅ Docker + Portainer 快速部署指南  
- ✅ 针对 WordPress / Node.js / Python Django 的专项优化  

欢迎随时提出,我会为你定制输出 👇