从零到一：我的 VPS 标准化开荒 SOP，五步打造稳定、安全、高性能的服务器

当我拿到一台全新的 VPS ，无论是用来建站、跑项目还是作为其他的用途我都有一套流程要走，不知道有没有 mjj 和我一样的，基本上不会直接上手部署业务或者运行其他的内容。跑一个融合怪或者 NQ 测试脚本啊，基本上的日常操作，DD 系统啊，因为有一些厂商预装的系统往往不够纯净，甚至可能被植入了监控组件。此外，如果不经过测试就投入使用，后期一旦出现性能瓶颈或网络问题，很难排查到底是不是商家超售导致硬件“缩水”还是是软件原因。

为了确保服务器的稳定性、安全性以及性能最大化，我按照我自己的习惯整理了一套标准化的“VPS 开荒部署”流程。这套 SOP （标准作业程序）是我每次拿到新机器后的必做事项，Linux 系统是基于我最常用的 Debian 12 系统。

第一步：验机与性能摸底

获取 IP 和 root 密码后，第一件事是通过 SSH 连接然后运行融合怪或者 NQ 测试脚本。这一步的核心目的有三点：

1. 核对配置：检查 CPU 型号、内存大小、硬盘 I/O 是否与商家宣传一致，最主要还是查看 CPU 跑分和硬盘 IO 做到心里有数，后期也好排查是不是超售商家。
2. 网络体检：测试三网回程线路质量（是 CN2 GIA 还是普通 163 ），这个在优化机器上尤其重要，尤其是一些藏路由或者大小包的商家，避免自己被骗。
3. 解锁检测：查看 IP 是否被 Netflix 、Disney+ 等流媒体平台封锁，如果是落地机器或者解锁机器这点就特别重要了。

我通常使用以下两个脚本，任选其一即可：

方案 A：NQ (NodeQuality) 测试脚本 这个脚本输出简洁，适合快速查看硬件配置和基础网络状况。

bash <(curl -sL https://run.NodeQuality.com)

方案 B：融合怪测试脚本 (推荐) 这是目前最全面的测试脚本，包含详细的 CPU 跑分（ Geekbench ）、硬盘读写速度以及全球主流流媒体的解锁检测。

bash <(wget -qO- --no-check-certificate https://gitlab.com/spiritysdx/za/-/raw/main/ecs.sh)

测试脚本数据只作为参考，真实情况可能不一致，最真实的情况还是需要真实的使用体验

如何分析结果？

• I/O 速度：如果读写速度低于 100MB/s ，说明硬盘性能极差，不适合搭建数据库或高负载网站，看看是石头盘、还是钻石盘、还是 SSD 缓存盘。
• CPU 跑分：GB5 单核分数直接决定了处理动态页面的能力，如果太低可以判断是超售了。
• 丢包率：关注晚高峰时段的丢包率，这比单纯的带宽大小更影响体验。

延伸阅读：

• VPS 网络体检报告解密：如何一眼看穿商家宣传的“大带宽”陷阱？
• 小白避坑指南：买 VPS 别只看价格！也要学会看参数

第二步：DD 重装纯净系统

哪怕商家提供了 Debian 12 镜像，我依然建议自己 DD （重装）一遍。这能确保系统内核是官方原版，彻底清除商家预装的监控代理或多余进程，让系统处于“零污染”状态。

我这里推荐的是使用的是 科技 Lion 的脚本，该脚本集成度高，支持快速重装为 Debian 、Ubuntu 或 Alpine 等主流系统。最主要还是方便，我自己也用习惯了，我知道肯定还有其他的但是懒得找了。

执行命令：

curl -sS -O https://kejilion.pro/kejilion.sh && chmod +x kejilion.sh && ./kejilion.sh

进入脚本菜单后，选择“重装系统”并指定 Debian 12。

关键提示： 系统重装完成后，SSH 会断开。等待 5-10 分钟重新连接。连接成功后，必须第一时间修改默认密码！ 脚本生成的初始密码通常是固定的（如 LeitboGi0），极易被扫描爆破。

修改密码命令：

passwd

第三步：基础安全加固

公网环境极其恶劣，默认的 22 端口和密码登录方式是黑客脚本攻击的重点对象。为了保障服务器不沦为肉鸡，必须进行以下三项配置：

1. 修改 SSH 默认端口：将默认的 22 端口修改为 20000-65535 之间的高位端口。这能规避 99% 的无差别自动化扫描。
2. 禁用密码登录：配置 SSH 密钥对，仅允许持有私钥的客户端登录，并彻底关闭密码验证功能。这样设置基本可以安全很多，因为密码泄露是很大的风险秘钥基本上杜绝了撞库或者其他方式的扫描。
3. 配置防火墙与 Fail2Ban：启用 UFW 防火墙并放行新端口；启用 Fail2Ban 监控 SSH 日志，自动封禁多次试错的恶意 IP 。

操作建议： 这一步容易导致新手把自己锁在门外，建议在修改配置文件（/etc/ssh/sshd_config）前先备份。修改完端口后，先不要关闭当前 SSH 窗口，新开一个窗口尝试连接，确认无误后再断开。

详细教程： 如果你不熟悉密钥生成和配置文件修改，请务必参考这篇教程： 别再让 VPS 裸奔！保姆级 Linux 安全加固教程，彻底告别 SSH 暴力破解

第四步：系统环境初始化

系统重装并加固后，需要对系统环境进行一些基础设置，以适应后续的使用需求。

1. 更新软件包与校准时间 确保所有软件都是最新版本，并防止因时间不同步导致的日志混乱或协议连接失败，升级软件包其实可以放到第一步的，但是想了想还是放到了这里，有的时候安装不上去软件的时候，先执行软件包更新就可以安装了。

apt update && apt upgrade -y
timedatectl set-timezone Asia/Shanghai

2. 开启 Swap (虚拟内存) 对于内存较小（如 512MB 或 1GB ）的 VPS ，开启 Swap 是防止内存溢出的最后一道防线。

wget https://www.moerats.com/usr/shell/swap.sh && bash swap.sh

建议：Swap 大小设置为内存的 1-2 倍即可，不必过大。

swap 看服务器的情况而定，如果是内存大的服务器不开也可以，开启 swap 可以让硬盘的容量作为运行内存，可以缓解内存不足的问题，但是 swap 本质只是那存储空间作为内存读写速度肯定有差距，所以没必要开的很大

3. 修改 DNS (按需执行) 部分国外商家的默认 DNS 解析国内域名速度较慢。我习惯手动修改为 Google 和 Cloudflare 的公共 DNS 。

sudo tee /etc/resolv.conf <<EOF
nameserver 8.8.8.8
nameserver 1.1.1.1
nameserver 2001:4860:4860::8844
nameserver 2606:4700:4700::1111
EOF

特别警示： 如果你购买的是具有 DNS 解锁流媒体 功能的特殊 VPS （如某些原生 IP 机器），商家通常已经配置好了专用 DNS 。此时千万不要执行上述修改 DNS 的操作，否则会导致解锁功能失效。

搬瓦工的机器默认 DNS 解析延迟有些问题，所以我这里建议修改默认的 DNS

第五步：内核优化与网络加速

Debian 12 默认内核已开启 BBR ，但针对高延迟、高丢包的国际网络环境，适当的 TCP 参数调优可以进一步提升吞吐量。这里就是针对小白的 TCP 调优脚本，不需要知道参数，只需执行选择就可以了，还是很方便的。

简易方案： 使用 Neko 的 TCP 优化脚本，选择推荐配置即可。

wget http://sh.nekoneko.cloud/tools.sh -O tools.sh && bash tools.sh

进阶方案 (推荐)： 如果你对网络协议有更高要求，推荐使用 **迷之调优**。根据你的服务器配置（内存、线路延迟）生成专属优化命令。这个网页生成的命令还会自动备份原配置，如果优化后效果不佳，可以随时回滚，还是非常方便的。

这东西因人而异不是必须的，有的人开了反而更慢，但是有的人开了还是有所改善的

总结

我的习惯就是按部就班的完成以上五个步骤后，这台 VPS 才算真正“交付”到我自己手中，我就可以安心的建站也好部署软件也好，其实还可以增加 docker 部署的内容，但是不是每个人都必须的就没加上去。

• 验机 让你心里有数，避免被坑，知道最基本的服务器参数了解清楚；
• DD 系统 给了你一个干净的底层环境，尤其是国内的机器，有很多监控可能都不方便，比如什么阿里云盾拖慢服务器占用资源；
• 安全加固 最基本的 SSH 安全加固，让你在玩服务器的时候无后顾之忧，不要担心服务器被黑；
• 系统与网络优化 则榨干了机器的每一分性能，增加一些小鸡的可玩性，让小鸡也有更多的可能。

文中涉及的所有脚本，也可以在 VPS 常用脚本合集 中找到。