免费云服务器安全配置教程：腾讯云新用户从登录到备份的完整指南

很多朋友第一次用免费云服务器，图的就是便宜、上手快，结果一上线就遇到各种糟心事：SSH 被暴力破解、网站莫名其妙挂马、数据库被拖库，甚至直接被植入挖矿程序。问题往往不在于服务器性能，而是安全配置几乎为零。

如果你准备在腾讯云上跑个人博客、公司官网或小程序后端，先把这套免费云服务器安全配置教程跑一遍，能帮你省下后期大量的排障和迁移时间。下面我会按“从外到内”的顺序，把登录安全、网络边界、系统加固、数据备份讲清楚，你可以边看边在自己的腾讯云 CVM 或轻量应用服务器上操作。

一、登录安全：把“大门”守好

这一步的目标是，让攻击者即使知道你的 IP，也很难猜到账号和密码。

1. 创建普通用户，禁用 root 直接登录
   Linux 系统默认允许 root 远程登录，这是暴力破解的重灾区。建议新建一个带 sudo 权限的普通用户，仅用它来执行管理命令。以常见的 Ubuntu/CentOS 为例，可以在控制台创建密钥对，下载私钥到本地，然后用私钥登录新用户，再在系统内禁用 root 远程登录。
2. 优先使用密钥登录，关闭密码登录
   密码登录最大的问题是容易被撞库和暴力破解。使用密钥对，相当于为每个账户配了一把“永不泄露的钥匙”。在腾讯云创建实例时，直接选择或新建密钥对，后续通过 SSH 客户端加载私钥即可登录。确认登录顺畅后，再修改 SSH 配置，关闭密码认证，只保留密钥认证。
3. 修改默认 SSH 端口，限制登录来源 IP
   默认的 22 端口每天都会被全网扫描。你可以在腾讯云安全组里，将 SSH 端口改为一个非标准端口（如 2222），并在系统防火墙里同步更新规则。如果管理端 IP 固定，建议在安全组和系统防火墙里都设置 IP 白名单，只允许指定 IP 访问管理端口。

二、网络边界：用好腾讯云安全组

安全组是腾讯云提供的虚拟防火墙，是抵御攻击的第一道防线。

1. 默认拒绝，按需开放
   安全组规则应遵循“最小权限原则”：先默认拒绝所有入方向流量，再按需逐个放通业务需要的端口，如 Web 服务的 80、443，以及你修改后的 SSH 端口。对于数据库、后台管理端口，尽量不暴露在公网，或通过 VPN/跳板机访问。
2. 区分环境，配置不同安全组
   建议将测试环境、预发布环境和正式环境使用不同的安全组。例如，正式环境只开放 80/443 和管理端口，测试环境可以额外放通一些调试端口，但务必限制访问来源 IP。
3. 配合系统防火墙，形成双层防护
   在系统内部（如 Linux 的 firewalld/iptables 或 Windows 的高级防火墙）再设置一层规则，与安全组形成“里外两层门”。即使安全组配置失误，系统防火墙也能提供额外保护。

三、系统与软件：减少攻击面

登录和网络安全配置好后，接下来要清理系统内部的风险点。

1. 及时更新系统与软件
   很多入侵利用的是已知的系统或中间件漏洞。建议开启腾讯云官方提供的安全加固或自动更新功能，定期扫描并修复漏洞。同时，手动将 Nginx、MySQL、PHP 等常用组件升级到稳定版本。
2. 关闭不必要的服务和端口
   新系统可能默认开启 FTP、Telnet 等老旧服务，这些服务不仅占用资源，还常有已知漏洞。通过 netstat 或系统服务管理工具，关闭所有非必需的端口和服务。
3. 设置合理的文件与目录权限
   Web 目录权限一般设为 755，配置文件（如数据库配置）设为 600，确保只有所有者可读写。日志目录和临时目录要定期清理，避免被写入恶意脚本。
4. 安装基础安全工具
   可以安装 fail2ban 等工具，自动封禁多次登录失败的 IP。对于 Windows 服务器，建议安装官方杀毒软件，并开启实时防护和定期全盘扫描。

四、数据与备份：出事能恢复

安全配置得再好，也难免有意外。没有备份，一切归零。

1. 开启云硬盘快照或镜像备份
   腾讯云提供云硬盘快照功能，建议对系统盘和数据盘都设置定期快照策略（如每天一次）。对于核心业务，还可以创建自定义镜像，方便快速重建环境。
2. 重要数据异地备份
   除了本地快照，建议将数据库和重要文件同步到对象存储等其他位置，实现异地备份。这样即使整个可用区出现问题，也能从其他区域恢复数据。
3. 定期演练恢复流程</