1.BBR安装

#安装
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf

echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf

sysctl -p

#检查BBR

lsmod | grep bbr

2.防火墙

#安装防火墙
apt install ufw -y
#默认拒绝所有传入,允许所有传出:
ufw default deny incoming
ufw default allow outgoing
#允许你的 SSH 接入
# 如果你有固定IP
ufw allow from 你的IP to any port 22 proto
# 如果你没有固定IP(允许所有来源访问SSH,靠密码/密钥保护)
ufw allow 22
#正式开启防火墙
ufw enable
#查看ufw防护墙状态 
ufw status

3.DNS设置

#设置DNS
echo -e "nameserver 127.0.0.1" > /etc/resolv.conf
#锁定DNS
chattr +i /etc/resolv.conf

4.禁用IPV6

#禁用IPV6:
cd /etc/sysctl.d/
touch disable-ipv6.conf
echo net.ipv6.conf.all.disable_ipv6=1 > disable-ipv6.conf
#刷新
sysctl -p -f /etc/sysctl.d/disable-ipv6.conf

5.添加虚拟内存

sudo fallocate -l 1g /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
sudo swapon --show
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab

6.安装DNSmasq

apt install dnsmasq
systemctl start dnsmasq
systemctl restart dnsmasq

7.查看连接服务器端口

watch -n 1 "ss -antp | grep :端口"

8.重启SSH

#重启SSH
service ssh restart

9.清除系统登录日志

# 清空登录历史
cat /dev/null > /var/log/wtmp
# 清空最后登录记录
cat /dev/null > /var/log/lastlog
# 清空当前登录记录(谨慎操作,可能影响当前会话显示)
cat /dev/null > /var/run/utmp

10.生成Debian密钥

#本地生成 SSH 密钥Windows (PowerShell) / Mac / Linux:打开终端,输入以下命令(一路回车即可):
ssh-keygen -t ed25519 -C "po0_key"
#查看并复制公钥:
cat ~/.ssh/id_ed25519.pub
#服务器写入公钥
# 创建目录
mkdir -p ~/.ssh
chmod 700 ~/.ssh
# 写入公钥
echo "ssh-ed25519 AAAA...你的公钥内容... po0_key" >> ~/.ssh/authorized_keys
# 设置权限
chmod 600 ~/.ssh/authorized_keys
#修改 SSH 配置
# 编辑配置文件:
nano /etc/ssh/sshd_config
# 找到以下配置项并修改(如果找不到,可在文件末尾添加):
# 1. 修改默认端口 (防止简单扫描)
Port 12956(自行修改)
# 2. 禁止密码登录 (强制使用密钥)
PasswordAuthentication no
# 3. 允许密钥登录
PubkeyAuthentication yes