Linux 服务器刚买回来，我会先做哪些基础加固

服务器刚开出来的时候，最诱人的动作通常是立刻登录上去装环境、拉代码、跑服务。
我早期也经常这样做，因为会觉得业务先上线最重要。可 2016 年之后自己管机器越来越多，我反而越来越愿意先停几分钟，把基础加固做完再继续。

原因很简单：这些动作在机器还很干净时做，最省心；等服务和人员都上来了，再补就会很别扭。

我最先看的不是应用，而是入口

第一步通常不是装 Node、装数据库，而是先想谁能进这台机器、怎么进、进来以后权限边界是什么。
只要入口没想清楚，后面再谈部署规范都像在不稳的地基上搭东西。

我一般会先确认：

• SSH 登录策略
• root 账号是否直接暴露
• 防火墙和对外开放端口是不是最小集合

这些看起来像“运维前置动作”，其实是在给后面所有部署降低风险。

第二层是系统层的最小卫生

我后来会把这层理解成“别让机器默认状态直接进入生产”。
包括但不限于：

• 更新关键安全补丁
• 校对时区和时间同步
• 确认日志和基本监控入口
• 检查磁盘、内存、swap 等基础资源状态

这些事做完不一定立刻有成就感，但出问题时会很感谢当初没偷懒。

第三层才是应用运行环境

等入口和机器卫生先稳住，再装 Git、Node、Java、数据库、反向代理，我心里会踏实得多。
因为这时候环境是在受控边界里长出来的，而不是一边开口子一边往上叠服务。

小结

Linux 服务器刚买回来时，最值钱的不是“多快把程序跑起来”，而是“先把以后会反复担心的风险点压下去”。
2016 年之后我对服务器初始化越来越保守，就是因为基础加固晚做，最后总会变成线上补洞。能早点做，就别拖。