如果你刚接触Linux服务器，第一件事不是写代码，而是先把它锁好。本文用10步帮你搞定基础安全设置，每一步都只要几分钟。

1. 准备工作：连接你的服务器

首先，你需要一台Linux服务器（比如阿里云、腾讯云、AWS的实例）。用SSH（一种安全远程登录工具）连接它。Windows用户可以用PuTTY（免费软件），Mac/Linux直接在终端输入：ssh 用户名@服务器IP。

2. 更新系统包

刚装好的系统可能有漏洞，先更新所有软件。执行：

• Ubuntu/Debian：sudo apt update && sudo apt upgrade -y
• CentOS/RHEL：sudo yum update -y

3. 创建新用户，不用root

用root账户很危险。创建一个普通用户：sudo adduser 你的用户名，然后给它sudo权限（即临时管理员权限）：sudo usermod -aG sudo 你的用户名。之后用新用户登录。

4. 设置SSH密钥登录

密码登录容易被暴力破解。用SSH密钥对（一对公钥和私钥）更安全。在本机生成：ssh-keygen -t rsa -b 4096，然后把公钥上传到服务器：ssh-copy-id 你的用户名@服务器IP。以后登录就不用密码了。

5. 禁用密码登录

编辑SSH配置文件：sudo nano /etc/ssh/sshd_config，找到PasswordAuthentication，改为no。保存后重启SSH服务：sudo systemctl restart sshd。注意：先确保密钥能登录，否则你会被锁在外面！

6. 修改SSH默认端口

默认端口22是黑客最爱。改成别的，比如2222：在/etc/ssh/sshd_config中改Port 2222，然后重启SSH。以后登录要加参数：ssh -p 2222 用户名@IP。

7. 设置防火墙

用UFW（简单防火墙工具）或firewalld只开放必要端口。Ubuntu：sudo ufw allow 2222/tcp（你的SSH端口），sudo ufw enable。CentOS：sudo firewall-cmd --permanent --add-port=2222/tcp，然后sudo firewall-cmd --reload。

8. 安装Fail2ban防暴力破解

Fail2ban会自动封禁多次登录失败的IP。安装：sudo apt install fail2ban（Ubuntu）或sudo yum install epel-release && sudo yum install fail2ban（CentOS）。启动：sudo systemctl start fail2ban，并设置开机自启：sudo systemctl enable fail2ban。

9. 禁用root登录

在SSH配置中，找到PermitRootLogin，改为no，重启SSH。这样黑客即使猜对root密码也进不来。

10. 检查并定期更新

最后，用sudo apt upgrade（或yum update）定期更新系统。也可以设置自动更新：sudo apt install unattended-upgrades（Ubuntu）。

完成这10步，你的Linux服务器就安全多了。下一步可以学习配置Web服务器或数据库，但安全基础已经打牢。遇到问题别怕，多查文档，多试几次就会了。